В феврале 2024 года компания Change Healthcare, принадлежащая UnitedHealth, подверглась масштабной кибератаке, в результате которой произошла одна из крупнейших утечек медицинских данных в истории США. Киберпреступники похитили личную и медицинскую информацию миллионов американцев, что привело к серьезным последствиям для всей системы здравоохранения страны.
21 февраля в системе Change Healthcare произошли первые сбои. Многие медицинские учреждения и страховые компании столкнулись с остановкой работы платформы для обработки счетов и страховых выплат. Компания подтвердила, что причиной сбоев стал инцидент в области кибербезопасности. Выяснилось, что для предотвращения дальнейшего проникновения хакеров Change Healthcare была вынуждена полностью отключить свою сеть, что вызвало перебои в работе множества медицинских учреждений по всей стране.
29 февраля UnitedHealth сообщила, что кибератака была осуществлена группировкой вымогателей ALPHV/BlackCat, которая официально взяла на себя ответственность за атаку и заявила, что украла миллионы чувствительных данных американцев. Напомним, что группа уже прекратила свою деятельность после операции ФБР.
В начале марта UnitedHealth вынужденно заплатила ALPHV выкуп в размере $22 миллионов. Однако уже через несколько дней сайт группировки в даркнете исчез, а самих преступников не удалось найти. Вероятно, они скрылись с полученными деньгами, оставив похищенные данные. Несмотря на утрату части выкупа, преступники заявили, что украденные данные всё ещё находятся у них, создавая угрозу дальнейшего использования или продажи данных.
К 13 марта Change Healthcare получила “безопасную” копию украденных данных, за которую несколько дней назад заплатила выкуп. Это позволило Change начать процесс изучения набора данных, чтобы определить, чья информация была украдена в ходе кибератаки, с целью уведомить как можно больше пострадавших лиц.
К середине марта сбои в работе системы здравоохранения США продолжались. Многие пациенты не могли получить свои рецепты, а некоторые вынуждены были оплачивать лекарства из собственного кармана. Оказалось, что хакеры получили доступ к обширной базе данных, содержащей медицинские записи, диагнозы, результаты анализов, планы лечения и другую личную информацию пациентов.
В конце марта правительство США увеличило вознаграждение за информацию о лидерах ALPHV до $10 миллионов, пытаясь привлечь информаторов из числа бывших участников группы.
В апреле обиженный партнер ALPHV, который не получил свою долю выкупа, стал сотрудничать с другой группой вымогателей RansomHub. Обладая данными, украденными у Change Healthcare, вымогатель потребовал второй выкуп от UnitedHealth и опубликовал часть похищенных данных в качестве доказательства серьёзности своих намерений.
Инцидент продемонстрировал опасность двойного и тройного вымогательства, когда преступники не просто шифруют файлы, также похищают данные и угрожают их публикацией, если выкуп не будет выплачен, что известно как “двойное вымогательство”. В некоторых случаях, когда жертва платит выкуп, вымогатели могут потребовать деньги снова – или начать вымогать деньги у клиентов жертвы, что называется “тройным вымогательством”.
В середине апреля UnitedHealth сообщила, что общие затраты на устранение последствий кибератаки за первый квартал 2024 года составили $872 млн. Помимо указанной суммы UnitedHealth предоставила авансовое финансирование и беспроцентные займы в размере более $6 млрд., выделенные для поддержки медучреждений, пострадавших от инцидента.
22 апреля UnitedHealth подтвердила, что утечка данных затронула значительную часть населения США. Хотя компания не раскрыла точное число пострадавших, предполагается, что это могут быть более 100 миллионов человек. Ситуацию усугубило признание главы UnitedHealth Group, который в мае на слушаниях в Конгрессе заявил, что доступ хакеров к системе был получен из-за использования простой учётной записи, не защищённой двухфакторной аутентификацией.
Уведомление пострадавших о краже данных началосьтолько в июне. Вероятно, задержка в уведомлении вызвана отчасти большим объёмом украденной информации. Change Healthcare в июле приступила к рассылке писем, в которых сообщается, какая именно информация была похищена – медицинские данные, страховая информация, а также финансовая и банковская информация.