Une cyberattaque aux États-Unis Le géant des technologies de la santé Change Healthcare a paralysé une grande partie du système de santé américain pour la deuxième semaine consécutive.
Les hôpitaux n’ont pas été en mesure de vérifier les prestations d’assurance des séjours hospitaliers, de gérer les autorisations préalables nécessaires aux procédures et interventions chirurgicales des patients, ou de traiter la facturation des services médicaux. Les pharmacies ont du mal à déterminer combien facturer les patients pour les ordonnances sans accès à leur dossier d’assurance maladie, obligeant certains à payer de leur poche des médicaments coûteux en espèces, tandis que d’autres ne peuvent pas payer les coûts.
Depuis que Change Healthcare a soudainement fermé son réseau le 21 février dans le but de contenir les intrus numériques, certains petits prestataires de soins de santé et pharmacies mettent en garde contre l’effondrement de leurs réserves de liquidités alors qu’ils luttent pour payer leurs factures et leur personnel sans le flux constant de remboursements des géants de l’assurance. .
La société mère de Change Healthcare, UnitedHealth Group, a déclaré vendredi dans un dossier déposé auprès des régulateurs gouvernementaux que la société de technologie de la santé faisait des « progrès substantiels » dans la restauration de ses systèmes concernés.
Alors que l’impact à court terme des pannes en cours sur les patients et les prestataires devient plus clair, des questions demeurent quant à la sécurité des informations médicales hautement sensibles de millions de personnes traitées par Change Healthcare.
En Russie, un groupe prolifique de ransomwares s’attribuant le mérite de la cyberattaque contre Change Healthcare a affirmé – sans encore publier de preuves – avoir volé d’énormes banques contenant des millions de données médicales privées de patients dans les systèmes du géant des technologies de la santé. Dans une nouvelle tournure, le gang des ransomwares semble maintenant avoir simulé sa propre disparition et disparu de la carte après avoir reçu une rançon d’une valeur de plusieurs millions en crypto-monnaie.
Si les données des patients ont été volées, les conséquences pour les patients concernés seront probablement irréversibles et durables.
Change Healthcare est l’un des plus grands facilitateurs au monde de données de santé et médicales et de dossiers de patients, traitant des milliards de transactions de soins de santé chaque année. Depuis 2022, le géant des technologies de la santé appartient à UnitedHealth Group, le plus grand assureur maladie aux États-Unis. Des centaines de milliers de médecins et de dentistes, ainsi que des dizaines de milliers de pharmacies et d’hôpitaux à travers les États-Unis, s’en servent pour facturer leurs patients en fonction de ce que permettent leurs prestations d’assurance maladie.
Cette taille présente un risque particulier. Les autorités antitrust américaines ont intenté une action en justice sans succès pour empêcher UnitedHealth d’acheter Change Healthcare et de la fusionner avec sa filiale de soins de santé Optum, arguant que UnitedHealth obtiendrait un avantage concurrentiel injuste en ayant accès à « environ la moitié de toutes les réclamations d’assurance maladie des Américains chaque année ».
De son côté, Change Healthcare a évité à plusieurs reprises jusqu’à présent de dire si les données des patients avaient été compromises lors de la cyberattaque. Cela n’a pas apaisé les responsables du secteur de la santé qui craignent que les conséquences de la cyberattaque sur les données soient encore à venir.
Dans une lettre adressée au gouvernement américain le 1er mars, l’American Medical Association a mis en garde contre « d’importants problèmes de confidentialité des données », craignant que l’incident « ait provoqué d’importantes violations des informations sur les patients et les médecins ». Le président de l’AMA, Jesse Ehrenfeld, a été cité par les journalistes comme ayant déclaré que Change Healthcare n’avait fourni « aucune clarté sur les données qui ont été compromises ou volées ».
Un directeur de la cybersécurité d’un grand système hospitalier américain a déclaré à TechCrunch que bien qu’ils soient en contact régulier avec Change et UnitedHealth, ils n’ont jusqu’à présent rien entendu sur la sécurité ou l’intégrité des dossiers des patients. Le directeur de la cybersécurité s’est dit alarmé par la possibilité que des pirates informatiques publient en ligne les données sensibles volées des patients.
Cette personne a déclaré que les communications de Change, qui ont progressivement augmenté depuis la suggestion que des données pourraient avoir été exfiltrées, jusqu’à la reconnaissance d’une enquête active auprès de plusieurs sociétés de réponse aux incidents, suggèrent que ce n’est qu’une question de temps avant que nous sachions combien a été volé. , et de qui. Les clients supporteront une partie du fardeau de ce piratage, a déclaré cette personne, demandant à ne pas être citée nommément car elle n’est pas autorisée à parler à la presse.
Un gang de ransomwares lance une « arnaque à la sortie »
Aujourd’hui, les hackers semblent avoir disparu, ce qui ajoute à l’imprévisibilité de la situation.
UnitedHealth a initialement attribué la cyberattaque à des pirates non spécifiés soutenus par le gouvernement, mais est ensuite revenu sur cette affirmation et a ensuite pointé le blâme sur le groupe de cybercriminalité basé en Russie contre les ransomwares et l’extorsion appelé ALPHV (également connu sous le nom de BlackCat), qui n’a aucun lien connu avec un gouvernement. .
Les gangs de rançongiciels et d’extorsion sont motivés par des raisons financières et emploient généralement des tactiques de double extorsion, en brouillant d’abord les données de la victime avec un logiciel malveillant de cryptage de fichiers, puis en s’emparant d’une copie et en menaçant de publier les données en ligne si leur demande de rançon n’est pas payée.
Le 3 mars, un affilié d’ALPHV/BlackCat – en fait un entrepreneur qui gagne une commission pour les cyberattaques qu’il lance en utilisant le malware du groupe de ransomwares – s’est plaint dans un message publié sur un forum de cybercriminalité, affirmant qu’ALPHV/BlackCat avait escroqué l’affilié de ses revenus. L’affilié a affirmé dans son message qu’ALPHV/BlackCat avait volé la rançon de 22 millions de dollars que Change Healthcare aurait payée pour décrypter leurs fichiers et empêcher les fuites de données, comme l’a rapporté pour la première fois l’observateur de sécurité chevronné DataBreaches.net.
Comme preuve de leurs affirmations, l’affilié a fourni l’adresse exacte du portefeuille cryptographique qu’ALPHV/BlackCat avait utilisée deux jours plus tôt pour prétendument recevoir la rançon. Le portefeuille montrait une seule transaction d’une valeur de 22 millions de dollars en bitcoins au moment du paiement.
L’affilié a ajouté que malgré la perte de sa part de la rançon, les données volées sont « toujours avec nous », ce qui suggère que l’affilié lésé a toujours accès à des tonnes de données médicales et patientes sensibles volées.
UnitedHealth a refusé de confirmer aux journalistes s’il avait payé la rançon des pirates, affirmant plutôt que la société se concentrait sur son enquête. Lorsque TechCrunch a demandé à UnitedHealth s’il contestait les informations selon lesquelles il aurait payé une rançon, un porte-parole de l’entreprise n’a pas répondu.
Le 5 mars, le site Web d’ALPHV/BlackCat avait disparu, ce que les chercheurs considèrent comme une arnaque à la sortie, dans laquelle les pirates s’enfuient avec leur nouvelle fortune pour ne plus jamais être revus, ou restent discrets et se reforment plus tard pour former un nouveau gang.
Le site Web sombre du gang a été remplacé par un écran de démarrage prétendant être un avis de saisie des forces de l’ordre. En décembre, une opération mondiale d’application de la loi a détruit une partie de l’infrastructure d’ALPHV/BlackCat, mais le gang est revenu et a rapidement commencé à cibler de nouvelles victimes. Mais cette fois, les chercheurs en sécurité soupçonné la propre tromperie du gang est en jeu, plutôt qu’un autre effort de retrait légal.
Un porte-parole de la National Crime Agency du Royaume-Uni, qui a participé à l’opération initiale de perturbation d’ALPHV/BlackCat l’année dernière, a déclaré à TechCrunch que le site Web ostensiblement saisi d’ALPHV/BlackCat « n’est pas le résultat de l’activité de la NCA ». D’autres agences mondiales chargées de l’application des lois ont également nié toute implication dans la disparition soudaine du groupe.
Il n’est pas rare que des gangs de cybercriminels se réforment ou changent de nom pour se débarrasser de problèmes de réputation, le genre de chose que l’on pourrait faire après avoir été démantelé par les forces de l’ordre ou avoir volé les revenus illicites d’un affilié.
Même avec un paiement effectué, rien ne garantit que les pirates supprimeront les données. Une récente action mondiale des forces de l’ordre visant à perturber l’opération prolifique du ransomware LockBit a révélé que le gang de cybercriminalité ne supprimait pas toujours les données de la victime comme il le prétendait si une rançon était payée. Les entreprises commencent à reconnaître que le paiement d’une rançon ne garantit pas la restitution de leurs fichiers.
Pour ceux qui sont en première ligne dans la cybersécurité des soins de santé, le pire des cas est que les dossiers des patients volés deviennent publics.
La sécurité des patients et les impacts économiques de cette situation vont se faire sentir pendant des années, a déclaré le directeur de la cybersécurité de l’hôpital à TechCrunch.
Vous travaillez chez Change Healthcare, Optum ou UnitedHealth et en savez plus sur la cyberattaque ? Contactez-nous sur Signal et WhatsApp au +1 646-755-8849 ou par e-mail. Vous pouvez également envoyer des fichiers et des documents via SecureDrop.