Ein Ransomware-Angriff auf das zu UnitedHealth gehörende Health-Tech-Unternehmen Change Healthcare Anfang des Jahres dürfte einer der größten Datendiebstähle im Bereich der US-Gesundheits- und Medizindaten in der Geschichte sein.
Monate nach dem Datendiebstahl im Februar erhält ein „erheblicher Anteil der in Amerika lebenden Menschen“ per Post die Benachrichtigung, dass ihre persönlichen Daten und Gesundheitsdaten während des Cyberangriffs auf Change Healthcare von Cyberkriminellen gestohlen wurden.
Change Healthcare bearbeitet die Rechnungsstellung und Versicherung für Hunderttausende von Krankenhäusern, Apotheken und Arztpraxen im gesamten US-Gesundheitssektor. Dabei erfasst und speichert das Unternehmen große Mengen hochsensibler medizinischer Daten von Patienten in den USA. Durch eine Reihe von Fusionen und Übernahmen wurde Change zu einem der größten Verarbeiter von US-Gesundheitsdaten und wickelt zwischen einem Drittel und der Hälfte aller US-Gesundheitstransaktionen ab.
Folgendes ist seit Beginn des Ransomware-Angriffs passiert.
21. Februar 2024
Erster Bericht über Ausfälle nach Bekanntwerden eines Sicherheitsvorfalls
Es schien ein ganz normaler Mittwochnachmittag zu sein, bis es anders kam. Der Ausfall kam plötzlich. Am 21. Februar funktionierten die Abrechnungssysteme in Arztpraxen und Gesundheitseinrichtungen nicht mehr und Versicherungsansprüche wurden nicht mehr bearbeitet. Die Statusseite auf der Website von Change Healthcare wurde mit Störungsmeldungen überflutet, die jeden Teil des Unternehmens betrafen, und später am selben Tag bestätigte das Unternehmen, dass es „eine Netzwerkunterbrechung im Zusammenhang mit einem Cybersicherheitsproblem“ gab. Offensichtlich war etwas sehr schiefgelaufen.
Es stellte sich heraus, dass Change Healthcare seine Sicherheitsprotokolle aktivierte und sein gesamtes Netzwerk herunterfuhr, um Eindringlinge zu isolieren, die es in seinen Systemen fand. Das führte zu plötzlichen und großflächigen Ausfällen im gesamten Gesundheitssektor, der auf eine Handvoll Unternehmen – wie Change Healthcare – angewiesen ist, um Krankenversicherungs- und Abrechnungsansprüche für weite Teile der Vereinigten Staaten abzuwickeln. Später wurde festgestellt, dass die Hacker erstmals über eine Woche zuvor, am oder um den 12. Februar, in die Systeme des Unternehmens eingebrochen waren.
29. Februar 2024
UnitedHealth bestätigt, von einer Ransomware-Bande angegriffen worden zu sein
Nachdem UnitedHealth den Angriff zunächst (und fälschlicherweise) Hackern zugeschrieben hatte, die für eine Regierung oder einen Nationalstaat arbeiteten, erklärte das Unternehmen am 29. Februar, dass der Cyberangriff in Wirklichkeit das Werk einer Ransomware-Bande gewesen sei. UnitedHealth sagte, die Bande habe sich „uns gegenüber als ALPHV/BlackCat ausgegeben“, sagte ein Unternehmenssprecher damals gegenüber Tech. Eine mit der ALPHV/BlackCat-Bande verbundene Dark-Web-Leak-Site bekannte sich ebenfalls zu dem Angriff und behauptete, sensible Gesundheits- und Patientendaten von Millionen Amerikanern gestohlen zu haben. Dies gab den ersten Hinweis darauf, wie viele Personen von diesem Vorfall betroffen waren.
ALPHV (alias BlackCat) ist eine bekannte russischsprachige Ransomware-as-a-Service-Bande. Ihre Partner – Vertragspartner, die für die Bande arbeiten – dringen in die Netzwerke der Opfer ein und verbreiten Malware, die von den Anführern von ALPHV/BlackCat entwickelt wurde. Diese kassieren einen Teil der Gewinne aus den Lösegeldzahlungen, die sie von den Opfern eintreiben, um ihre Dateien zurückzubekommen.
Durch die Kenntnis darüber, dass der Einbruch von einer Ransomware-Bande verursacht wurde, änderte sich die Gleichung des Angriffs von einem Hackerangriff, wie ihn Regierungen durchführen – manchmal, um einer anderen Regierung eine Botschaft zu senden, anstatt die privaten Informationen von Millionen von Menschen zu veröffentlichen – zu einem Einbruch, der von finanziell motivierten Cyberkriminellen verursacht wurde, die wahrscheinlich eine ganz andere Taktik anwenden, um an ihr Geld zu kommen.
3.-5. März 2024
UnitedHealth zahlt Hackern 22 Millionen Dollar Lösegeld und diese verschwinden anschließend
Anfang März verschwand die ALPHV-Ransomware-Bande. Die Leak-Site der Bande im Darknet, die sich Wochen zuvor für den Cyberangriff verantwortlich gemacht hatte, wurde durch eine Beschlagnahmungsmitteilung ersetzt, in der behauptet wurde, britische und US-amerikanische Strafverfolgungsbehörden hätten die Site der Bande abgeschaltet. Doch sowohl das FBI als auch die britischen Behörden bestritten, die Ransomware-Bande ausgeschaltet zu haben, wie sie es Monate zuvor versucht hatten. Alle Anzeichen deuteten darauf hin, dass ALPHV mit dem Lösegeld abgehauen war und einen „Exit-Scam“ durchgezogen hatte.
In einem Posting behauptete der ALPHV-Ableger, der den Hack bei Change Healthcare durchgeführt hatte, dass die ALPHV-Führung 22 Millionen Dollar als Lösegeld gestohlen habe und fügte einen Link zu eine einzelne Bitcoin-Transaktion am 3. März als Beweis für ihren Anspruch. Doch obwohl sie ihren Anteil an der Lösegeldzahlung verloren haben, sagte das Tochterunternehmen, die gestohlenen Daten seien „immer noch bei uns“. UnitedHealth hatte den Hackern ein Lösegeld gezahlt, die die Daten zurückließen und verschwanden.
13. März 2024
Große Störungen im US-Gesundheitswesen aufgrund von Datenschutzverletzungen
Auch Wochen nach dem Cyberangriff kam es immer noch zu Ausfällen, viele konnten ihre Rezepte nicht einlösen oder mussten bar bezahlen. Der Militärkrankenversicherer TriCare sagte, dass auch „alle Militärapotheken weltweit“ betroffen seien.
Die American Medical Association war sagte, es gebe nur wenige Informationen von UnitedHealth und Change Healthcare über die anhaltenden Ausfälle, die zu massiven Störungen führten, deren Auswirkungen sich weiterhin auf den gesamten Gesundheitssektor auswirkten.
Am 13. März erhielt Change Healthcare eine „sichere“ Kopie der gestohlenen Daten, für die das Unternehmen nur wenige Tage zuvor 22 Millionen Dollar bezahlt hatte. So konnte Change beginnen, den Datensatz zu durchforsten, um herauszufinden, wessen Informationen bei dem Cyberangriff gestohlen wurden, mit dem Ziel, so viele betroffene Personen wie möglich zu benachrichtigen.
28. März 2024
US-Regierung erhöht Kopfgeld auf 10 Millionen Dollar für Hinweise, die zur Festnahme von ALPHV führen
Ende März kündigte die US-Regierung an, dass sie für Informationen über die Führungsspitze von ALPHV/BlackCat und seinen Verbündeten eine erhöhte Belohnung ausloben werde.
Indem die US-Regierung jedem, der die Hintermänner der Bande identifizieren oder ausfindig machen kann, 10 Millionen Dollar bietet, scheint sie zu hoffen, dass sich ein Insider der Bande gegen ihre ehemaligen Anführer wenden würde. Es könnte auch so verstanden werden, dass die USA die Gefahr erkennen, dass die Gesundheitsdaten einer beträchtlichen Zahl von Amerikanern möglicherweise online veröffentlicht werden.
15. April 2024
Auftragnehmer gründet neue Lösegeldbande und veröffentlicht einige gestohlene Gesundheitsdaten
Und dann waren da noch zwei – nämlich Lösegeld. Mitte April richtete der geschädigte Partner ein neues Erpressungsnetzwerk namens RansomHub ein und verlangte, da er noch immer über die Daten verfügte, die er Change Healthcare gestohlen hatte, ein zweites Lösegeld von UnitedHealth. Dabei veröffentlichte RansomHub einen Teil der gestohlenen Dateien, die offenbar private und vertrauliche Patientenakten enthielten, als Beweis für seine Bedrohung.
Ransomware-Banden verschlüsseln nicht nur Dateien; sie stehlen auch so viele Daten wie möglich und drohen mit der Veröffentlichung der Dateien, wenn kein Lösegeld gezahlt wird. Dies wird als „doppelte Erpressung“ bezeichnet. In einigen Fällen kann die Ransomware-Bande das Opfer, wenn es zahlt, erneut erpressen – oder in anderen Fällen die Kunden des Opfers erpressen, was als „dreifache Erpressung“ bezeichnet wird.
Nachdem UnitedHealth nun bereit war, ein Lösegeld zu zahlen, bestand das Risiko, dass der Gesundheitsriese erneut erpresst werden würde. Deshalb sprechen sich die Strafverfolgungsbehörden schon seit langem gegen die Zahlung eines Lösegelds aus, das es Kriminellen ermöglicht, von Cyberangriffen zu profitieren.
22. April 2024
UnitedHealth sagt, Ransomware-Hacker hätten Gesundheitsdaten eines „erheblichen Anteils der Menschen in Amerika“ gestohlen
Zum ersten Mal bestätigte UnitedHealth am 22. April – mehr als zwei Monate nach Beginn des Ransomware-Angriffs –, dass es einen Datendiebstahl gegeben habe und dass dieser wahrscheinlich einen „erheblichen Anteil der Menschen in Amerika“ betreffe, ohne jedoch zu sagen, wie viele Millionen Menschen das betrifft. UnitedHealth bestätigte auch, dass es ein Lösegeld für die Daten bezahlt habe, wollte jedoch nicht sagen, wie hoch das Lösegeld letztendlich war.
Das Unternehmen gab an, dass die gestohlenen Daten hochsensible Informationen enthalten, darunter Krankenakten und Gesundheitsinformationen, Diagnosen, Medikamente, Testergebnisse, bildgebende Verfahren sowie Pflege- und Behandlungspläne und andere persönliche Informationen.
Da Change Healthcare Daten von etwa einem Drittel aller in den Vereinigten Staaten lebenden Menschen verarbeitet, dürfte der Datendiebstahl mindestens mehr als 100 Millionen Menschen betreffen. Ein Sprecher von UnitedHealth bestritt die wahrscheinliche Zahl der Betroffenen nicht, sagte jedoch, dass die Datenüberprüfung des Unternehmens noch im Gange sei.
1. Mai 2024
CEO der UnitedHealth Group sagt aus, dass Change keine grundlegenden Cybersicherheitsmaßnahmen eingesetzt habe
Es ist vielleicht keine Überraschung, dass der Vorstandsvorsitzende Ihres Unternehmens zwangsläufig als Zeuge vor den Gesetzgeber geladen wird, wenn in diesem Unternehmen einer der größten Datenschutzverstöße der jüngeren Geschichte passiert ist.
Dies ist im Fall von Andrew Witty, CEO der UnitedHealth Group (UHG), passiert, der auf dem Capitol Hill zugab, dass die Hacker in die Systeme von Change Healthcare eingebrochen seien, indem sie ein einzelnes Kennwort für ein Benutzerkonto verwendeten, das nicht durch eine Multi-Faktor-Authentifizierung geschützt war. Bei dieser grundlegenden Sicherheitsfunktion kann es zu Angriffen durch die Wiederverwendung von Kennwörtern kommen, indem ein zweiter Code an das Telefon des Kontoinhabers gesendet wird.
Einer der größten Datendiebstähle in der US-Geschichte sei vollkommen vermeidbar gewesen, lautete die Kernbotschaft. Witty sagte, der Datendiebstahl betreffe wahrscheinlich etwa ein Drittel der in Amerika lebenden Menschen – im Einklang mit früheren Schätzungen des Unternehmens, wonach der Datendiebstahl etwa so viele Menschen betrifft, wie Change Healthcare Krankenversicherungsansprüche bearbeitet.
20. Juni 2024
UHG beginnt, betroffene Krankenhäuser und medizinische Dienstleister darüber zu informieren, welche Daten gestohlen wurden
Change Healthcare begann erst am 20. Juni damit, die betroffenen Personen offiziell über den Diebstahl ihrer Daten zu informieren, wie es das allgemein als HIPAA bekannte Gesetz vorschreibt. Die Verzögerung dürfte teilweise auf die enorme Größe des gestohlenen Datensatzes zurückzuführen sein.
Das Unternehmen veröffentlichte eine Mitteilung über die Datenschutzverletzung und sagte, dass es damit beginnen würde, Personen zu benachrichtigen, die es in der „sicheren“ Kopie der gestohlenen Daten identifiziert hatte. Change sagte jedoch, es könne „nicht genau bestätigen“, welche Daten von jeder Person gestohlen wurden, und dass die Informationen von Person zu Person unterschiedlich sein könnten. Change sagte, es habe die Benachrichtigung auf seiner Website veröffentlicht, da es „möglicherweise nicht über genügend Adressen für alle betroffenen Personen verfügt“.
Der Vorfall war so groß und komplex, dass das US-Gesundheitsministerium trat ein und sagte dass betroffene Gesundheitsdienstleister, deren Patienten letztlich von der Störung betroffen sind, UnitedHealth bitten können, die betroffenen Patienten in ihrem Namen zu benachrichtigen. Mit dieser Maßnahme soll die Belastung kleinerer Dienstleister verringert werden, deren Finanzen durch den anhaltenden Ausfall in Mitleidenschaft gezogen wurden.
29. Juli 2024
Change Healthcare beginnt mit der Benachrichtigung bekanntermaßen betroffener Personen per Brief
Der Health-Tech-Riese bestätigte Ende Juni, dass er damit beginnen werde, diejenigen, deren Gesundheitsdaten bei seinem Ransomware-Angriff gestohlen wurden, fortlaufend zu benachrichtigen. Dieser Prozess begann Ende Juli.
Die Briefe, die an die betroffenen Personen gehen, stammen höchstwahrscheinlich von Change Healthcare, wenn nicht sogar von dem konkreten Gesundheitsdienstleister, der von dem Hack bei Change betroffen war. Der Brief bestätigt, welche Art von Daten gestohlen wurden, darunter medizinische Daten und Krankenversicherungsinformationen sowie Schadens- und Zahlungsinformationen, darunter laut Change auch Finanz- und Bankdaten.