Бандата BlackCat/ALPHV официално пое отговорност за кибератаката срещу Optum, дъщерно дружество на UnitedHealth Group (UHG), която доведе до продължаващ прекъсване на работата на платформата Change Healthcare. За тази атака подробно писахме вчера.

Change Healthcare е най-голямата платформа за обмен на плащания, използвана от повече от 70 000 аптеки в САЩ. UHG е най-голямата компания за здравни грижи в света по приходи, в която работят 440 000 души по целия свят и която работи с над 1,6 милиона лекари и специалисти по здравни грижи в 8000 болници и други лечебни заведения.

В изявление, публикувано днес на техния сайт за изтичане на информация в тъмната мрежа, BlackCat заяви, че са откраднали 6 TB данни от мрежата на Change Healthcare, принадлежащи на „хиляди доставчици на здравни услуги, застрахователни компании, аптеки и др.“

„Намирайки се в производствена мрежа, човек може да си представи количеството критични и чувствителни данни, които могат да бъдат открити. Данните се отнасят за всички клиенти на Change Health, чиито чувствителни данни се обработват от компанията“, заявиха от BlackCat.

Бандата, която иска откуп, твърди, че е откраднала изходния код на решенията на Change Healthcare и чувствителна информация, принадлежаща на много партньори, включително здравната програма Tricare на американската армия, федералната здравноосигурителна програма Medicare, CVS Caremark, MetLife, Health Net и десетки други доставчици на здравно осигуряване.

Според твърденията на BlackCat откраднатите от Change Healthcare чувствителни данни съдържат широк спектър от информация за милиони хора, включително:

• медицински досиета
• застрахователни досиета
• зъболекарски записи
• информация за плащания
• информация за искове
• лични данни на пациентите (т.е. телефонни номера, адреси, номера на социални осигуровки, имейл адреси и други)
• PII данни на активни американски военнослужещи/морски персонал

На специалната страница за състоянието Optum предупреди часове преди публикуването на тази статия, че все още работи по възстановяването на засегнатите системи, за да ги върне отново онлайн, като добави, че системите на Optum, UnitedHealthcare и UnitedHealth Group не са засегнати.

Макар вицепрезидентът на UnitedHealth Group Тайлър Мейсън да не потвърди, че BlackCat стои зад инцидента, той заяви пред медии по-рано тази седмица, че 90% от засегнатите над 70 000 аптеки са преминали към нови процедури за електронно подаване на заявления, за да се справят с проблемите на Change Healthcare.

Днес BlackCat също така отрече, че филиалите, които са проникнали в мрежата на Change Healthcare, са използвали критичния недостатък на ScreenConnect auth bypass (CVE-2024-1709), както беше съобщено  по-рано тази седмица от източници, запознати с разследването.

Във вторник ФБР, CISA и Министерството на здравеопазването и човешките ресурси (HHS) предупредиха, че филиали на ransomware Blackcat се насочват предимно към организации в сектора на здравеопазването в САЩ и ЕС.

„От средата на декември 2023 г. насам от близо 70-те изтекли жертви най-често е пострадал секторът на здравеопазването“, заявиха трите федерални агенции.

„Това вероятно е в отговор на поста на администратора на ALPHV Blackcat, който насърчава неговите филиали да се насочат към болници след оперативните действия срещу групата и нейната инфраструктура в началото на декември 2023 г.“

По-рано ФБР свърза BlackCat с над 60 пробива през първите четири месеца от дейността ѝ (между ноември 2021 г. и март 2022 г.) и заяви, че бандата е заграбила поне 300 млн. долара под формата на откупи от над 1000 жертви до септември 2023 г.

Сега Държавният департамент на САЩ предлага до 15 млн. долара за съвети, които помагат за идентифицирането или откриването на лидерите на бандата BlackCat и на лица, свързани с откупните атаки на групата.