La bandada de ransomware que hackeó al titán estadounidense de tecnología sanitaria Change Healthcare utilizó un conjunto de credenciales robadas para conseguir de forma remota a los sistemas de la empresa que no estaban protegidos por autenticación multifactor, según el director ejecutante de su empresa matriz, UnitedHealth.
El director ejecutante de UnitedHealth, Andrew Witty, brindó el certificación escrito antiguamente de una audiencia del subcomité de la Cámara de Representantes el miércoles sobre el ataque de ransomware de febrero que causó meses de interrupción en todo el sistema de sanidad de EE. UU.
Esta es la primera vez que el titán de los seguros médicos evalúa cómo los piratas informáticos irrumpieron en los sistemas de Change Healthcare, durante lo cual se filtraron enormes cantidades de datos de sanidad de sus sistemas. UnitedHealth dijo la semana pasada que los piratas informáticos robaron datos de sanidad de una «proporción sustancial de personas en Estados Unidos».
Change Healthcare procesa reclamaciones de facturación y seguros médicos para aproximadamente la centro de todos los residentes de EE. UU.
Según el certificación de Witty, los piratas informáticos «utilizaron credenciales comprometidas para conseguir de forma remota a un portal de Change Healthcare Citrix». Organizaciones como Change utilizan el software Citrix para permitir que los empleados accedan a sus computadoras de trabajo de forma remota en sus redes internas.
Witty no dio más detalles sobre cómo se robaron las credenciales. El Wall Street Journal informó por primera vez sobre el uso de credenciales comprometidas por parte del hacker la semana pasada.
Sin requisa, Witty dijo que el portal «no tenía autenticación multifactor», que es una característica de seguridad básica que evita el uso indebido de contraseñas robadas al requerir que se envíe un segundo código al dispositivo confiable de un empleado, como su teléfono. No se sabe por qué Change no configuró la autenticación multifactor en este sistema, pero esto probablemente se convertirá en el foco de los investigadores que intentan comprender posibles deficiencias en los sistemas de la aseguradora.
«Una vez que el actor de la amenaza obtuvo ataque, se movió lateralmente internamente de los sistemas de maneras más sofisticadas y extrajo datos», dijo Witty.
Witty dijo que los piratas informáticos implementaron ransomware nueve días a posteriori, el 21 de febrero, lo que llevó al titán de la sanidad a cerrar su red para contener la infracción.
UnitedHealth confirmó la semana pasada que la empresa pagó un rescate a los piratas informáticos que se atribuyeron la responsabilidad del ciberataque y el posterior robo de terabytes de datos robados. Los piratas informáticos, conocidos como RansomHub, son la segunda bandada que reclama el robo de datos a posteriori de anunciar una parte de los datos robados en la web oscura y exigir un rescate para no entregar la información.
UnitedHealth dijo a principios de este mes que el ataque de ransomware le costó más de 870 millones de dólares en el primer trimestre, en el que la compañía obtuvo cerca de 100 mil millones de dólares en ingresos.
————————————————– —————–
Esta página transcribe artículos de diversas fuentes de dominio sabido, las ideas expresadas son responsabilidad de sus respectivos autores por lo cual no nos hacemos responsables del uso o la interpretación que se les dé. La información publicada nunca debe sustituir consultorio profesional, médica, admitido o psicológica.
