Créditos de imagen: Patrick Sisson/AP
La banda de ransomware que pirateó al gigante estadounidense de tecnología sanitaria Change Healthcare utilizó credenciales robadas para acceder de forma remota a los sistemas de la empresa no protegidos por autenticación multifactor (MFA), según el director ejecutivo de su empresa matriz UnitedHealth Group (UHG). )
Andrew Whitty, director ejecutivo de UnitedHealth Se proporcionó una declaración escrita. ante una audiencia del subcomité de la Cámara el miércoles sobre el ataque de ransomware de febrero que causó meses de interrupción en el sistema de atención médica de EE. UU.
Esta es la primera vez que el gigante de seguros de salud Change Healthcare evalúa cómo los piratas informáticos irrumpieron en sus sistemas, durante lo cual se extrajeron cantidades masivas de datos de salud de sus sistemas. UnitedHealth dijo la semana pasada que los piratas informáticos habían robado una «cantidad significativa» de datos de salud en Estados Unidos.
Change Healthcare procesa reclamaciones de facturación y seguros médicos para casi la mitad de todos los residentes de EE. UU.
Según el testimonio de Vitti, los piratas informáticos «utilizaron credenciales comprometidas para acceder de forma remota al portal Change Healthcare Citrix». Organizaciones como Change utilizan el software Citrix para permitir que los empleados accedan de forma remota a sus computadoras de trabajo en sus redes internas.
Whitty no dio más detalles sobre cómo se robó la evidencia. El periodico de Wall Street Se informó por primera vez que el hacker utilizó credenciales comprometidas la semana pasada
Sin embargo, Vitti dijo que el portal «carece de autenticación multifactor», una característica de seguridad básica que requiere que se envíe un segundo código al dispositivo confiable de un empleado para evitar el uso indebido de contraseñas robadas. No se sabe por qué el cambio no configuró la autenticación multifactor en el sistema, pero es un foco de atención para los investigadores que intentan comprender posibles fallas en los sistemas de aseguradoras.
«Una vez que un actor de amenazas obtuvo acceso, se volvió más sofisticado en formas y más tarde en sistemas que expusieron datos», dijo Vitti.
Witty dijo que los piratas informáticos implementaron el ransomware nueve días después, el 21 de febrero, lo que llevó al gigante de la salud a cerrar su red para contener la infracción.
UnitedHealth confirmó la semana pasada que la empresa había pagado un rescate a los piratas informáticos responsables del ciberataque y de los terabytes de datos robados. Los piratas informáticos, conocidos como RansomHub, son la segunda banda que demanda por robo de datos después de publicar algunos de los datos robados en la web oscura y exigir un rescate para evitar vender la información.
UnitedHealth dijo a principios de este mes que un ataque de ransomware le costó a la compañía más de 870 millones de dólares en el primer trimestre, en el que generó 100 mil millones de dólares en ingresos.
«Lector amigable. Aficionado al tocino. Escritora. Nerd de Twitter galardonado. Introvertido. Gurú de Internet. Aficionado a la cerveza».
