Le ricadute del cyberattacco al sistema sanitario peggiorano con 100 milioni di persone colpite
In un duro seguito al grave incidente ransomware di febbraio, Change Healthcare ha recentemente rivelato che i dati personali di 100 milioni di individui sono stati compromessi. L'attacco, che ha causato interruzioni del servizio a livello nazionale, ha sfruttato le debolezze della rete aziendale, esponendo vulnerabilità critiche all'interno dell'infrastruttura digitale del settore sanitario.
Sommario
Come si è svolto l'attacco
Gli aggressori hanno sfruttato un portale Citrix senza autenticazione a più fattori (MFA), utilizzando credenziali trapelate per accedere ai sistemi di Change Healthcare. Ciò ha consentito loro di aggirare le difese primarie dell'azienda e mantenere l'accesso non autorizzato per nove giorni, durante i quali si sono spostati lateralmente attraverso la rete. Gli hacker hanno esfiltrato enormi quantità di dati personali, tra cui informazioni mediche sensibili e informazioni di identificazione personale (PII), prima di distribuire un ransomware di crittografia dei file. La loro incursione ha portato alla fine a un'interruzione diffusa in oltre 100 applicazioni sanitarie integrali per servizi clinici, odontoiatrici, medici e farmaceutici. L'attacco ha tagliato fuori migliaia di operatori sanitari da questi sistemi, influenzando tutto, dall'elaborazione delle prescrizioni alla gestione delle cartelle cliniche dei pazienti.
Preso di mira da più gruppi ransomware
L'attacco è stato inizialmente attribuito alla gang ransomware Alphv/BlackCat , un gruppo con una nota storia di attacchi a dati di alto valore. Dopo essersi infiltrati con successo e aver paralizzato i sistemi di Change Healthcare, Alphv/BlackCat hanno chiesto un riscatto di 22 milioni di dollari, che UnitedHealth ha pagato per evitare la divulgazione al pubblico dei dati dei pazienti. Ma questa non è stata la fine dei guai di UnitedHealth. In una mossa audace, una seconda gang, nota come RansomHub, ha tentato un altro schema di estorsione a marzo , sottolineando la vulnerabilità delle aziende un tempo prese di mira dai gruppi ransomware.
Dati sensibili compromessi
Change Healthcare ha confermato ad aprile che sia le PII che le informazioni sanitarie protette (PHI) sono state probabilmente esfiltrate durante l'attacco. Tra queste, nomi, date di nascita, indirizzi, numeri di previdenza sociale, informazioni assicurative, dettagli della cartella clinica e informazioni sui trattamenti. Sebbene UnitedHealth non abbia segnalato prove conclusive di furto di anamnesi mediche complete, le informazioni esposte espongono comunque gli individui ad alto rischio di furto di identità, frode assicurativa e attacchi di phishing.
Le ricadute finanziarie e le misure per gli individui interessati
Il costo di questo attacco informatico ha superato 1,1 miliardi di $ per UnitedHealth, coprendo il recupero dei dati, le notifiche ai clienti e i protocolli di sicurezza avanzati. UnitedHealth ha iniziato a notificare gli individui interessati a luglio, offrendo servizi gratuiti di protezione dell'identità e monitoraggio del credito per aiutare a mitigare i potenziali danni derivanti dalla violazione. Per coloro che sono stati colpiti, UnitedHealth consiglia di vigilare nel monitoraggio del credito e dei conti bancari e mette in guardia contro potenziali truffe di phishing che potrebbero sfruttare informazioni personali rubate.
Le conclusioni sulla sicurezza informatica
L'attacco Change Healthcare dimostra l'importanza di rigidi protocolli di sicurezza informatica nel settore sanitario. L'autenticazione a più fattori (MFA) su account con privilegi elevati avrebbe potuto bloccare l'accesso iniziale degli hacker e forse impedire del tutto la violazione dei dati. Il settore sanitario, che gestisce informazioni altamente sensibili e infrastrutture critiche, deve dare priorità a modelli zero-trust, audit di sicurezza regolari e formazione dei dipendenti per restare al passo con le minacce sofisticate.
L'attacco a Change Healthcare sottolinea quanto una violazione possa essere devastante sia per le organizzazioni che per gli individui, lasciando impatti duraturi sulla sicurezza finanziaria, personale e istituzionale. L'evento serve come promemoria per i fornitori di servizi sanitari affinché rafforzino le loro difese contro un'ondata crescente di attacchi ransomware, poiché le conseguenze di una sicurezza informatica insufficiente possono essere sia estese che costose.