Um ataque de ransomware no início deste ano à empresa de tecnologia de saúde Change Healthcare, de propriedade da UnitedHealth, provavelmente foi uma das maiores violações de dados médicos e de saúde dos EUA na história. Meses após a violação de dados de fevereiro, uma "proporção substancial de pessoas que vivem na América" está recebendo uma notificação por correio de que suas informações pessoais e de saúde foram roubadas por criminosos cibernéticos durante o ataque cibernético à Change Healthcare.
O Início do Ataque
A Change Healthcare processa faturamento e seguro para centenas de milhares de hospitais, farmácias e consultórios médicos em todo o setor de saúde dos EUA. Como tal, ela coleta e armazena grandes quantidades de dados médicos altamente confidenciais sobre pacientes nos Estados Unidos. Por meio de uma série de fusões e aquisições, a Change se tornou uma das maiores processadoras de dados de saúde dos EUA, lidando entre um terço e metade de todas as transações de saúde dos EUA.
Tudo começou em 21 de fevereiro de 2024, quando os sistemas de cobrança em consultórios médicos e clínicas de saúde pararam de funcionar e as reivindicações de seguro pararam de ser processadas. A página de status no site da Change Healthcare foi inundada com notificações de interrupção afetando todas as partes de seus negócios, e mais tarde naquele dia a empresa confirmou que estava "passando por uma interrupção de rede relacionada a um problema de segurança cibernética".
Acontece que a Change Healthcare invocou seus protocolos de segurança e desligou toda a sua rede para isolar intrusos que encontrou em seus sistemas. Isso significou interrupções repentinas e generalizadas em todo o setor de saúde que depende de um punhado de empresas — como a Change Healthcare — para lidar com seguros de saúde e reivindicações de cobrança para vastas áreas dos Estados Unidos. Mais tarde, foi determinado que os hackers inicialmente invadiram os sistemas da empresa mais de uma semana antes, em ou por volta de 12 de fevereiro.
Identificando os Responsáveis
Em 29 de fevereiro de 2024, a UnitedHealth confirmou que foi atingida por uma gangue de ransomware conhecida como ALPHV (também conhecida como BlackCat). A ALPHV é uma gangue de ransomware-as-a-service de língua russa, cujos afiliados — contratados que trabalham para a gangue — invadem redes de vítimas e implantam malware desenvolvido pelos líderes da ALPHV/BlackCat, que pegam uma parte dos lucros coletados dos resgates coletados das vítimas.
Saber que a violação foi causada por uma gangue de ransomware mudou a equação do ataque do tipo de hacking que os governos fazem — às vezes para enviar uma mensagem a outro governo em vez de publicar informações privadas de milhões de pessoas — para uma violação causada por criminosos cibernéticos motivados financeiramente, que provavelmente empregarão um manual totalmente diferente para receber seu pagamento.
O Resgate e a Fuga
Nos primeiros dias de março, a gangue de ransomware ALPHV desapareceu. O site de vazamento da gangue na dark web, que semanas antes assumiu o crédito pelo ataque cibernético, foi substituído por um aviso de apreensão alegando que as autoridades do Reino Unido e dos EUA derrubaram o site da gangue. Mas tanto o FBI quanto as autoridades do Reino Unido negaram derrubar a gangue de ransomware como haviam tentado meses antes. Todos os sinais apontavam para a ALPHV fugindo com o resgate e aplicando um "golpe de saída".
Em uma publicação, a afiliada da ALPHV que realizou o hack na Change Healthcare alegou que a liderança da ALPHV roubou US$ 22 milhões pagos como resgate e incluiu um link para uma única transação de bitcoin em 3 de março como prova de sua reivindicação. Mas, apesar de perder sua parte do pagamento do resgate, a afiliada disse que os dados roubados "ainda estão conosco". A UnitedHealth pagou um resgate a hackers que deixaram os dados para trás e desapareceram.
Perturbação no Sistema de Saúde
Enquanto isso, semanas após o ataque cibernético, as interrupções ainda estavam em andamento, com muitos incapazes de obter suas receitas ou tendo que pagar em dinheiro do próprio bolso. O provedor de seguro de saúde militar TriCare disse que "todas as farmácias militares no mundo" também foram afetadas.
A Associação Médica Americana disse que havia pouca informação da UnitedHealth e da Change Healthcare sobre as interrupções em andamento, causando grandes interrupções que continuaram a se espalhar pelo setor de saúde. Somente em 13 de março a Change Healthcare recebeu uma cópia "segura" dos dados roubados pelos quais havia pago US$ 22 milhões apenas alguns dias antes. Isso permitiu que a Change iniciasse o processo de análise do conjunto de dados para determinar de quem eram as informações roubadas no ataque cibernético, com o objetivo de notificar o máximo possível de indivíduos afetados.
A Busca pelos Responsáveis
No final de março, o governo dos EUA disse que estava aumentando sua recompensa por informações sobre a liderança-chave da ALPHV/BlackCat e suas afiliadas. Ao oferecer US$ 10 milhões a qualquer um que pudesse identificar ou localizar os indivíduos por trás da gangue, o governo dos EUA parecia esperar que um dos membros da gangue se voltasse contra seus antigos líderes. Também poderia ser visto como os EUA percebendo a ameaça de ter um número significativo de informações de saúde de americanos potencialmente publicadas online.
Mas a história não parou por aí. Em meados de abril, a afiliada ofendida montou uma nova rede de extorsão chamada RansomHub, e como ainda tinha os dados que roubou da Change Healthcare, exigiu um segundo resgate da UnitedHealth. Ao fazer isso, a RansomHub publicou uma parte dos arquivos roubados contendo o que pareciam ser registros privados e sensíveis de pacientes como prova de sua ameaça.
O Impacto Final
Finalmente, em 22 de abril, a UnitedHealth confirmou pela primeira vez — mais de dois meses após o início do ataque de ransomware — que houve uma violação de dados e que provavelmente afeta uma "proporção substancial de pessoas na América", sem dizer quantos milhões de pessoas isso envolve. A UnitedHealth também confirmou que pagou um resgate pelos dados, mas não disse quantos resgates pagou no final.
A empresa disse que os dados roubados incluem informações altamente confidenciais, como registros médicos e informações de saúde, diagnósticos, medicamentos, resultados de exames, exames de imagem e planos de cuidados e tratamento, além de outras informações pessoais.
Em 1º de maio, o presidente-executivo do UnitedHealth Group (UHG), Andrew Witty, admitiu perante os legisladores que os hackers invadiram os sistemas da Change Healthcare usando uma única senha definida em uma conta de usuário não protegida com autenticação multifator, um recurso básico de segurança que pode evitar ataques de reutilização de senha.
Finalmente, em 20 de junho, a Change Healthcare começou a notificar formalmente os indivíduos afetados de que suas informações foram roubadas, conforme exigido legalmente. E no final de julho, a empresa confirmou que esse processo de notificação estava em andamento.
O incidente foi tão grande e complexo que o Departamento de Saúde e Serviços Humanos dos EUA interveio e disse que os provedores de saúde afetados, cujos pacientes são afetados pela violação, podem pedir à UnitedHealth para notificar os pacientes afetados em seu nome, um esforço visto para diminuir a carga sobre provedores menores cujas finanças foram afetadas em meio à interrupção em andamento.
Essa violação de dados provavelmente afetará cerca de um terço das pessoas que vivem na América, de acordo com as estimativas da UnitedHealth. É uma das maiores violações de dados da história recente, com informações médicas e de saúde altamente confidenciais de milhões de americanos potencialmente nas mãos de criminosos cibernéticos. O impacto desse ataque de ransomware continuará a ser sentido por muito tempo.
