Die Ransomware-Bande, die sich in den US-amerikanischen Gesundheitstechnologieriesen Change Healthcare gehackt hat, nutzte eine Reihe gestohlener Zugangsdaten, um aus der Ferne auf die Systeme des Unternehmens zuzugreifen, die nicht durch Multi-Faktor-Authentifizierung geschützt waren, so der Vorstandsvorsitzende der Muttergesellschaft UnitedHealth.
Andrew Witty, CEO von UnitedHealth legte die schriftliche Aussage vor im Vorfeld einer Anhörung des Unterausschusses des Repräsentantenhauses am Mittwoch zum Ransomware-Angriff vom Februar, der monatelange Störungen im gesamten US-amerikanischen Gesundheitssystem verursachte.
Dies ist das erste Mal, dass der Krankenversicherungsriese eine Einschätzung darüber abgibt, wie Hacker in die Systeme von Change Healthcare eindrangen und dabei riesige Mengen an Gesundheitsdaten aus seinen Systemen herausfilterten. UnitedHealth sagte letzte Woche, dass die Hacker Gesundheitsdaten von einem „erheblichen Teil der Menschen in Amerika“ gestohlen hätten.
Change Healthcare bearbeitet Krankenversicherungs- und Abrechnungsansprüche für etwa die Hälfte aller US-Bürger.
Laut Wittys Aussage nutzten die kriminellen Hacker „kompromittierte Zugangsdaten, um aus der Ferne auf ein Citrix-Portal von Change Healthcare zuzugreifen“. Organisationen wie Change nutzen Citrix-Software, um Mitarbeitern den Fernzugriff auf ihre Arbeitscomputer über ihre internen Netzwerke zu ermöglichen.
Witty ging nicht näher darauf ein, wie die Zugangsdaten gestohlen wurden. Das Wall Street Journal berichtete zunächst über die Verwendung kompromittierter Zugangsdaten durch den Hacker letzte Woche.
Allerdings sagte Witty, dass das Portal „keine Multi-Faktor-Authentifizierung“ verfüge, eine grundlegende Sicherheitsfunktion, die den Missbrauch gestohlener Passwörter verhindert, indem ein zweiter Code an das vertrauenswürdige Gerät eines Mitarbeiters, beispielsweise sein Telefon, gesendet werden muss. Es ist nicht bekannt, warum Change in diesem System keine Multi-Faktor-Authentifizierung eingerichtet hat, aber dies wird wahrscheinlich zum Schwerpunkt für Ermittler werden, die versuchen, mögliche Mängel in den Systemen des Versicherers zu verstehen.
„Sobald der Bedrohungsakteur Zugang erlangte, bewegte er sich auf ausgefeiltere Weise seitlich innerhalb der Systeme und exfiltrierte Daten“, sagte Witty.
Witty sagte, die Hacker hätten neun Tage später, am 21. Februar, Ransomware eingesetzt, was den Gesundheitsriesen dazu veranlasste, sein Netzwerk abzuschalten, um den Verstoß einzudämmen.
UnitedHealth bestätigte letzte Woche, dass das Unternehmen ein Lösegeld an die Hacker gezahlt hat, die die Verantwortung für den Cyberangriff und den anschließenden Diebstahl von Terabytes gestohlener Daten übernommen hatten. Die Hacker, bekannt als RansomHub, sind die zweite Bande, die Anspruch auf den Datendiebstahl erhebt, nachdem sie einen Teil der gestohlenen Daten im Dark Web veröffentlicht und ein Lösegeld verlangt hat, um die Informationen nicht zu verkaufen.
UnitedHealth sagte Anfang des Monats, der Ransomware-Angriff habe das Unternehmen im ersten Quartal mehr als 870 Millionen US-Dollar gekostet, in dem das Unternehmen einen Umsatz von fast 100 Milliarden US-Dollar erwirtschaftete.