Un ataque de ransomware de febrero de 2024 contra la empresa de tecnología de salud propiedad de UnitedHealth Change Healthcare es la mayor violación de datos de la salud y los datos médicos en la historia de los Estados Unidos.
El cambio de atención médica confirmó en enero de 2025 que su violación de datos afecta a aproximadamente 190 millones de personas en Estados Unidos, casi el doble de la estimación previa de la compañía.
La compañía dijo que ha notificado a millones de personas por correo que su información personal y de salud fue robada por los cibercriminales, y publicó un aviso público separado para cualquier persona cuya información de contacto no se pudo encontrar.
Cambiar la facturación y el seguro de los procesos de salud para cientos de miles de hospitales, farmacias y prácticas médicas en todo el sector de la salud de los Estados Unidos. Como tal, la compañía recopila y almacena grandes cantidades de datos médicos altamente sensibles sobre pacientes en los Estados Unidos. Después de una serie de fusiones y adquisiciones corporativas, Change Healthcare se convirtió en uno de los procesadores más grandes de los datos de salud de los Estados Unidos, manejando hasta la mitad de todas las transacciones de salud de los Estados Unidos.
Esto es lo que ha sucedido desde que comenzó el ataque de ransomware.
21 de febrero de 2024
Primer informe de interrupciones a medida que surge el incidente de seguridad
Parecía un miércoles por la tarde ordinario, hasta que no lo fue. La interrupción fue repentina. El 21 de febrero, los sistemas de facturación en las oficinas de los médicos y las prácticas de salud dejaron de funcionar, y las reclamaciones de seguros dejaron de procesarse. La página de estado en el sitio web de Change Healthcare se inundó con notificaciones de interrupción que afectan cada parte de su negocio, y más tarde ese día la compañía confirmó que estaba «experimentando una interrupción de la red relacionada con un problema de seguridad cibernética». Claramente, algo había salido muy mal.
Resulta que el cambio de atención médica invocó sus protocolos de seguridad y cerró toda su red para aislar a los intrusos que encontró en sus sistemas. Eso significó interrupciones repentinas y generalizadas en todo el sector de la salud que se basa en un puñado de empresas, como cambiar la atención médica, para manejar los seguros de salud y las reclamaciones de facturación por vastas franjas de los Estados Unidos. Más tarde se determinó que los piratas informáticos inicialmente irrumpieron en los sistemas de la compañía durante una semana antes, alrededor del 12 de febrero.
29 de febrero de 2024
UnitedHealth confirma que fue golpeado por Ransomware Gang
Después de atribuir inicialmente (e incorrectamente) la intrusión a los piratas informáticos que trabajan para un gobierno o estado-nación, el UnitedHealth dijo más tarde el 29 de febrero que el ciberataque era el trabajo de una pandilla de ransomware. UnitedHealth dijo que la pandilla «se representó a nosotros como AlphV/BlackCat», dijo un portavoz de la compañía a Tecno en ese momento. Un sitio de fuga web oscuro asociado con la pandilla AlphV/BlackCat también se atribuyó el ataque, afirmando haber robado la salud sensible de los estadounidenses y la información del paciente, dando la primera indicación de cuántas personas que este incidente había afectado.
Alphv (también conocido como BlackCat) es una conocida pandilla de ransomware como servicio de ransomware ruso. Sus afiliados, contratistas que trabajan para la pandilla, entran en redes de víctimas e implementan malware desarrollados por los líderes de Alphv/BlackCat, que reciben un recorte de las ganancias recopiladas de los rescates recopilados de las víctimas para recuperar sus archivos.
Sabiendo que la violación fue causada por una pandilla de ransomware cambió la ecuación del ataque del tipo de piratería que hacen los gobiernos, a veces para enviar un mensaje a otro gobierno en lugar de publicar millones de información privada de personas, a una violación causada por ciberdelincuentes motivados financieramente , que es probable que empleen un libro de jugadas completamente diferente para obtener su día de pago.
3-5 de marzo de 2024
UnitedHealth paga un rescate de $ 22 millones a los piratas informáticos, que luego desaparecen
A principios de marzo, la pandilla de ransomware Alphv desapareció. El sitio de filtración de la pandilla en la web oscura, que semanas antes se atribuyó el atago cibernético, fue reemplazado por un aviso de incautación alegando que la policía del Reino Unido y la ley de los Estados Unidos derribó el sitio de la pandilla. Pero tanto el FBI como las autoridades del Reino Unido negaron haber retirado a la pandilla de ransomware como lo habían intentado meses antes. Todas las señales apuntaban a Alphv corriendo con el rescate y tirar de una «estafa de salida».
En una publicación, el afiliado de Alphv que llevó a cabo la atención médica de Hack on Change afirmó que el liderazgo de Alphv robó $ 22 millones pagados como rescate e incluyó un enlace a una sola transacción de Bitcoin el 3 de marzo como prueba de su reclamo. Pero a pesar de perder su parte del pago de rescate, el afiliado dijo que los datos robados están «todavía con nosotros». UnitedHealth había pagado un rescate a los piratas informáticos que dejaron los datos y desaparecieron.
13 de marzo de 2024
Interrupción generalizada en la atención médica de los Estados Unidos en medio de temores de violación de datos
Mientras tanto, semanas después del ciberataque, las interrupciones aún estaban en curso con muchos incapaces de completar sus recetas o tener que pagar en efectivo de su bolsillo. El proveedor de seguros de salud militar Tricare dijo que «todas las farmacias militares en todo el mundo» también se vieron afectadas.
La Asociación Médica Americana dijo que había poca información de UnitedHealth y cambió la atención médica sobre las interrupciones en curso, causando una interrupción masiva que continuó ondulando en todo el sector de la salud.
Para el 13 de marzo, Change Healthcare había recibido una copia «segura» de los datos robados que solo había pagado $ 22 millones. Esto permitió que el cambio comience el proceso dearse a través del conjunto de datos para determinar de quién fue robada la información en el ciberataque, con el objetivo de notificar a tantas personas afectadas como sea posible.
28 de marzo de 2024
El gobierno de los Estados Unidos sube su generosidad a $ 10 millones para obtener información que conduzca a la captura de Alphv
A fines de marzo, el gobierno de los Estados Unidos dijo que estaba aumentando su generosidad por información sobre el liderazgo clave de Alphv/BlackCat y sus afiliados.
Al ofrecer $ 10 millones a cualquiera que pueda identificar o localizar a las personas detrás de la pandilla, el gobierno de los Estados Unidos parecía esperar que uno de los expertos de la pandilla se encienda a sus antiguos líderes. También podría verse como Estados Unidos que se dio cuenta de la amenaza de tener un número significativo de información de salud de los estadounidenses que se publica en línea.
15 de abril de 2024
El contratista forma nueva pandilla Ransom y publica algunos datos de salud robados
Y luego había dos – rescates, es decir. A mediados de abril, el afiliado perjudicado estableció una nueva raqueta de extorsión llamada Ransomhub, y dado que todavía tenía los datos que robó de la atención médica de cambio, exigió un segundo rescate de UnitedHealth. Al hacerlo, Ransomhub publicó una parte de los archivos robados que contenían lo que parecía ser registros de pacientes privados y sensibles como prueba de su amenaza.
Las pandillas de ransomware no solo encriptan archivos; También roban tantos datos como sea posible y amenazan con publicar los archivos si no se paga un rescate. Esto se conoce como «doble extorsión». En algunos casos, cuando la víctima paga, la pandilla de ransomware puede extorsionar a la víctima nuevamente, o, en otros, extorsionar a los clientes de la víctima, conocidos como «triple extorsión».
Ahora que UnitedHealth estaba dispuesto a pagar un rescate, existía el riesgo de que el gigante de la salud fuera extorsionado nuevamente. Es por eso que la policía ha abogado durante mucho tiempo contra el pago de un rescate que permite a los delincuentes beneficiarse de los ataques cibernéticos.
22 de abril de 2024
UnitedHealth dice que los piratas informáticos de ransomware robaron datos de salud sobre una «proporción sustancial de personas en Estados Unidos»
Por primera vez, UnitedHealth confirmó el 22 de abril, más de dos meses después de que comenzara el ataque de ransomware, que hubo una violación de datos y que probablemente afecte a una «proporción sustancial de personas en Estados Unidos», sin decir cuántos millones de personas eso implica. UnitedHealth también confirmó que pagó un rescate por los datos, pero no diría cuántos rescates finalmente pagó.
La compañía dijo que los datos robados incluyen información altamente confidencial, incluidos registros médicos e información de salud, diagnósticos, medicamentos, resultados de pruebas, imágenes y planes de atención y tratamiento, y otra información personal.
Dado que el cambio de atención médica maneja datos sobre hasta la mitad de todos los que viven en los Estados Unidos, es probable que la violación de datos afecte al menos a más de 100 millones de personas. Cuando Tecno fue contactado, un portavoz de UnitedHealth no disputó el número probable afectado, pero dijo que la revisión de datos de la compañía estaba en curso.
1 de mayo de 2024
El director ejecutivo del UnitedHealth Group testifica que el cambio no estaba usando ciberseguridad básica
Quizás, como era de esperar, cuando su empresa ha tenido una de las mayores infracciones de datos en la historia reciente, su director ejecutivo seguramente será llamado a testificar ante los legisladores.
Eso es lo que sucedió con el presidente ejecutivo de UnitedHealth Group (UHG) Andrew Witty, quien en Capitol Hill admitió que los hackers irrumpieron en los sistemas de Cambiar Healthcare utilizando una contraseña establecida única en una cuenta de usuario no protegida con autenticación multifactor, una función de seguridad básica que puede Evite los ataques de reutilización de contraseña requeriendo un segundo código enviado al teléfono del titular de ese cuenta.
Una de las mayores infracciones de datos en la historia de los Estados Unidos era completamente prevenible, fue el mensaje clave. Witty dijo que la violación de datos probablemente afectaría a aproximadamente un tercio de las personas que viven en Estados Unidos, en línea con las estimaciones anteriores de la compañía que la violación afecta a tantas personas que cambian los procesos de salud por los que reclamos.
20 de junio de 2024
UHG comienza a notificar a los hospitales afectados y a los proveedores médicos qué datos fueron robados
Se necesitó un cambio en la salud hasta el 20 de junio para comenzar a notificar formalmente a las personas afectadas que su información fue robada, como se requería legalmente bajo una ley comúnmente conocida como HIPAA, probablemente retrasada en parte por el tamaño del conjunto de datos robado.
La compañía publicó un aviso que revela la violación de datos y dijo que comenzaría a notificar a las personas que había identificado en la copia «segura» de los datos robados. Pero el cambio dijo que «no puede confirmar exactamente» qué datos fueron robados sobre cada individuo y que la información puede variar de persona a persona. Change dice que estaba publicando el aviso en su sitio web, ya que «puede no tener suficientes direcciones para todas las personas afectadas».
El incidente fue tan grande y complejo que el Departamento de Salud y Servicios Humanos de los Estados Unidos intervino y dijo que los proveedores de atención médica afectados, cuyos pacientes se ven afectados en última instancia por la violación, pueden pedirle a UnitedHealth que notifique a los pacientes afectados en su nombre, un esfuerzo visto por disminuir La carga de los proveedores más pequeños cuyas finanzas fueron golpeadas en medio de la interrupción en curso.
29 de julio de 2024
Cambiar la atención médica comienza a notificar a las personas afectadas conocidas por carta
El gigante de la tecnología de la salud confirmó a fines de junio que comenzaría a notificar a aquellos cuyos datos de atención médica fueron robados en su ataque de ransomware de forma continua. Ese proceso comenzó a fines de julio.
Las cartas que salen a las personas afectadas probablemente provenirán de la atención médica de cambio, si no del proveedor de atención médica específico afectado por el hack en el cambio. La carta confirma qué tipos de datos fueron robados, incluidos datos médicos e información del seguro de salud, y reclamos e información de pago, cuyo cambio dice que incluye información financiera y bancaria.
Un portavoz de UnitedHealth le dijo a Tecno que la revisión de datos estaba en sus «etapas finales».
24 de octubre de 2024
UnitedHealth confirma al menos 100 millones de personas afectadas por la violación de datos
El gigante del seguro de salud tardó más de ocho meses en anunciar, pero ahora ha confirmado que la violación de datos afecta a más de 100 millones de personas. Se espera que el número de los afectados aumente, dado que algunos han recibido datos …
Continuar leyendo: Cómo el ataque de ransomware en Change Healthcare fue: una línea de tiempo
