Взлом Change Healthcare: обнаружена причина масштабного сбоя в работе медучреждений США

В феврале громкая кибератака на Change Healthcare вызвала серьезные нарушения в работе медучреждений США, а сейчас стало известно, каким образом хакеры получили доступ к системам.

По словам гендиректора UnitedHealth Group (материнская компания Change Healthcare) Эндрю Уитти, причиной атаки стала неисправленная уязвимость под названием Citrix Bleed ( CVE-2023-4966 , оценка CVSS: 7.5) в программном обеспечении Citrix. Подробности стали известны в ходе подготовки к слушаниям в подкомитете по надзору и расследованиям, которые запланированы на 1 мая.

Атака, произошедшая 12 февраля, парализовала системы учета и платежей UnitedHealth Group, что затронуло больницы, страхование и аптеки, парализовав их работу почти на месяц. Ответственность за атаку взяла на себя группировка ALPHV/BlackCat, которая уже прекратила свою деятельность после операции ФБР.

На фоне атаки, аналогичная уязвимость была активно использована другой группой хакеров LockBit, начиная с июля 2023 года. В октябре Citrix выпустила необходимое обновление для устранения уязвимости, но к тому времени многие компании, включая Boeing и ICBC, уже пострадали от кибератак.

Директор UnitedHealth Group утверждает, что в результате атаки были скомпрометированы данные для удаленного доступа к порталу Change Healthcare. После обнаружения атаки компания немедленно отключила связь с центрами обработки данных, чтобы предотвратить дальнейшее распространение вируса.

Эндрю Уитти подчеркнул, что только за последний год компания отразила более 450 000 попыток взлома. На слушаниях в Конгрессе Уитти планирует рассказать о мерах, которые компания принимает для борьбы с кибер угрозами , включая сотрудничество с ФБР и ведущими ИБ-компаниями.

В результате атаки UHG выплатила более $6,8 млрд. в виде авансовых платежей и беспроцентных займов пострадавшим медицинским учреждениям. Подразделение Change Healthcare обрабатывает записи каждого третьего пациента в США, обрабатывая около 15 млрд. транзакций в год.

Кибератака также спровоцировала расследование со стороны Департамента здравоохранения США относительно возможных нарушений правил защиты медицинских данных, что может привести к штрафам или судебным искам против компании UnitedHealth Group.

Change Healthcare до сих пор ощущает последствия инцидента . Сложность ситуации усугубляется тем, что вымогатели ALPHV обманули компанию, исчезнув вскоре после получения выкупа. По слухам, партнеры группы, осуществившие атаку, так и не получили свою долю от выручки, из-за чего они стали сотрудничать с группировкой RansomHub и продолжают шантажировать Change Healthcare, используя те же украденные данные.