Para irrumpir en los sistemas de TI de Change Healthcare, los piratas informáticos abusaron de una vulnerabilidad en un producto de acceso a escritorio remoto de Citrix. Así lo afirma Andrew Witty, director ejecutivo (CEO) de UnitedHealth, la empresa matriz de Change Healthcare.
A finales de esta semana, Witty dará su testimonio sobre la violación de datos de Change Healthcare ante el Comité de Energía y Comercio de la Cámara de Representantes. Reuters informes. Su testimonio fue publicado en el sitio web de UnitedHealth antes de la discusión.
A finales de febrero de este año, se conoció la noticia de un importante ciberataque a Change Healthcare, que obligó a la empresa a cerrar partes de su infraestructura y que afectó a farmacias locales y negocios adyacentes. Más tarde se informó que la empresa fue víctima de un Secuestro de datos ataque.
Punto de entrada desconocido
«Sin conocer el punto de entrada del ataque en ese momento, inmediatamente cortamos la conectividad con los centros de datos de Change para eliminar la posibilidad de una mayor infección», dirá Witty en el testimonio.
Aparentemente, los atacantes utilizaron una combinación de nombre de usuario y contraseña comprometida para acceder al portal Citrix de la empresa. no hubo autenticación multifactor (MFA) creado en ese momento. Actualmente aún se desconoce qué falla específica de Citrix fue abusada durante el ataque. Reuters señala que los funcionarios estadounidenses emitieron «múltiples advertencias sobre lagunas de seguridad en las herramientas de Citrix a finales del año pasado».
En las semanas posteriores al ataque, se informó que una filial de ALPHV (BlackCat), un famoso proveedor de ransomware como servicio, violó Change Healthcare y robó 4 TB de datos confidenciales de clientes. El grupo supuestamente exigió 22 millones de dólares en criptomonedas a cambio de la clave de descifrado y de mantener la privacidad de los datos. Más tarde se detectó una transacción de blockchain con esa cantidad exacta, lo que generó especulaciones de que la compañía intentó pagar la demanda de rescate.
Poco después, ALPHV cerró toda la operación y desapareció. Más tarde, el afiliado afirmó que el grupo se quedó con todo el dinero y que se quedó con los datos.