Ein Cyberangriff auf die USA Der Gesundheitstechnologieriese Change Healthcare hat die zweite Woche in Folge einen Großteil des US-amerikanischen Gesundheitssystems lahmgelegt.
Krankenhäuser waren nicht in der Lage, die Versicherungsleistungen für stationäre Aufenthalte zu prüfen, die für Patientenbehandlungen und Operationen erforderlichen Vorabgenehmigungen zu bearbeiten oder die Abrechnung medizinischer Leistungen abzuwickeln. Apotheken tun sich schwer damit, zu bestimmen, wie viel sie ihren Patienten für Rezepte in Rechnung stellen sollen, ohne Zugang zu ihren Krankenversicherungsunterlagen zu haben, was dazu führt, dass einige kostspielige Medikamente aus eigener Tasche mit Bargeld bezahlen müssen, während andere nicht in der Lage sind, die Kosten zu tragen.
Seitdem Change Healthcare sein Netzwerk am 21. Februar plötzlich geschlossen hat, um die digitalen Eindringlinge einzudämmen, warnen einige kleinere Gesundheitsdienstleister und Apotheken vor einem Zusammenbruch ihrer Bargeldreserven, da sie ohne die stetigen Erstattungen der Versicherungsgiganten Schwierigkeiten haben, ihre Rechnungen und ihr Personal zu bezahlen .
Das sagte die Muttergesellschaft von Change Healthcare, UnitedHealth Group in einer Einreichung bei staatlichen Aufsichtsbehörden am Freitag dass das Gesundheitstechnologieunternehmen „erhebliche Fortschritte“ bei der Wiederherstellung seiner betroffenen Systeme machte.
Da die kurzfristigen Auswirkungen der anhaltenden Ausfälle auf Patienten und Anbieter klarer werden, bleiben Fragen zur Sicherheit der hochsensiblen medizinischen Informationen von Millionen von Menschen, die von Change Healthcare verwaltet werden.
Aus Russland behauptete eine produktive Ransomware-Bande, die sich für den Cyberangriff auf Change Healthcare verantwortlich machte – ohne bisher Beweise zu veröffentlichen –, riesige Datenbanken mit den privaten medizinischen Daten von Millionen von Patienten aus den Systemen des Gesundheitstechnologieriesen gestohlen zu haben. In einer neuen Wendung scheint die Ransomware-Bande nun ihren eigenen Untergang vorgetäuscht zu haben und von der Bildfläche verschwunden zu sein, nachdem sie eine Lösegeldzahlung in Millionenhöhe in Kryptowährung erhalten hatte.
Wenn Patientendaten gestohlen wurden, sind die Folgen für die betroffenen Patienten wahrscheinlich irreversibel und lebenslang.
Change Healthcare ist einer der weltweit größten Vermittler von Gesundheits- und medizinischen Daten sowie Patientenakten und wickelt jährlich Milliarden von Gesundheitstransaktionen ab. Seit 2022 gehört der Gesundheitstechnologieriese zur UnitedHealth Group, dem größten Krankenversicherer der USA. Hunderttausende Ärzte und Zahnärzte sowie Zehntausende Apotheken und Krankenhäuser in den USA verlassen sich darauf, Patienten entsprechend den Leistungen ihrer Krankenversicherung abzurechnen.
Diese Größe stellt ein besonderes Risiko dar. US-Kartellbehörden haben erfolglos geklagt, um UnitedHealth daran zu hindern, Change Healthcare zu kaufen und es mit seiner Gesundheitstochter Optum zu fusionieren. mit dem Argument, dass UnitedHealth einen unfairen Wettbewerbsvorteil erlangen würde, wenn es Zugang zu „etwa der Hälfte aller Krankenversicherungsansprüche der Amerikaner jedes Jahr“ erhält.
Change Healthcare wiederum vermied es bisher immer wieder zu sagen, ob bei dem Cyberangriff Patientendaten kompromittiert wurden. Das hat die Führungskräfte im Gesundheitswesen nicht beruhigt, die befürchten, dass die datenbezogenen Folgen des Cyberangriffs noch bevorstehen.
In ein Brief vom 1. März an die US-RegierungDie American Medical Association warnte vor „erheblichen Datenschutzbedenken“ und befürchtete, dass der Vorfall „umfangreiche Verstöße gegen Patienten- und Arztdaten verursachte“. AMA-Präsident Jesse Ehrenfeld war von Reportern zitiert mit der Aussage, dass Change Healthcare „keine Klarheit darüber geschaffen hat, welche Daten kompromittiert oder gestohlen wurden“.
Ein Cybersicherheitsdirektor eines großen US-Krankenhaussystems sagte gegenüber Tech, dass man, obwohl man regelmäßig mit Change und UnitedHealth in Kontakt stehe, bisher nichts über die Sicherheit oder Integrität von Patientenakten gehört habe. Der Cybersicherheitsdirektor äußerte sich besorgt über die Aussicht, dass die Hacker die gestohlenen sensiblen Patientendaten möglicherweise online veröffentlichen könnten.
Diese Person sagte, dass die Mitteilungen von Change, die nach und nach von der Andeutung, dass Daten möglicherweise exfiltriert wurden, bis hin zur Bestätigung einer aktiven Untersuchung bei mehreren Incident-Response-Firmen eskalierten, darauf hindeuten, dass es nur eine Frage der Zeit ist, bis wir erfahren, wie viel gestohlen wurde , und von wem. Die Kunden würden einen Teil der Last dieses Hacks tragen, sagte diese Person und bat darum, nicht namentlich genannt zu werden, da sie nicht befugt sei, mit der Presse zu sprechen.
Ransomware-Bande führt „Exit-Betrug“ durch
Nun scheinen die Hacker verschwunden zu sein, was die Lage noch unvorhersehbarer macht.
UnitedHealth führte den Cyberangriff zunächst auf nicht näher bezeichnete, von der Regierung unterstützte Hacker zurück, zog diese Behauptung jedoch später zurück und wies die Schuld anschließend auf die in Russland ansässige Ransomware- und Erpressungs-Cyberkriminalitätsgruppe namens ALPHV (auch bekannt als BlackCat) hin, die keine bekannten Verbindungen zu einer Regierung hat .
Ransomware- und Erpresserbanden sind finanziell motiviert und wenden in der Regel doppelte Erpressungstaktiken an, indem sie zunächst die Daten des Opfers mit dateiverschlüsselnder Malware verschlüsseln, dann eine Kopie für sich selbst erbeuten und drohen, die Daten online zu veröffentlichen, wenn ihre Lösegeldforderung nicht bezahlt wird.
Am 3. März beschwerte sich eine Tochtergesellschaft von ALPHV/BlackCat – praktisch ein Auftragnehmer, der eine Provision für die Cyberangriffe erhält, die sie mit der Malware der Ransomware-Gang starten – in einem Beitrag in einem Cybercrime-Forum und behauptete, ALPHV/BlackCat habe die Tochtergesellschaft um ihre Einnahmen betrogen. Die Tochtergesellschaft behauptete in dem Beitrag, dass ALPHV/BlackCat das Lösegeld in Höhe von 22 Millionen US-Dollar gestohlen habe, das Change Healthcare angeblich gezahlt habe, um ihre Dateien zu entschlüsseln und Datenlecks zu verhindern wurde erstmals vom erfahrenen Sicherheitsbeobachter DataBreaches.net gemeldet.
Als Beweis für ihre Ansprüche legte der Partner vor die genaue Krypto-Wallet-Adresse dass ALPHV/BlackCat zwei Tage zuvor angeblich das Lösegeld erhalten hatte. Die Brieftasche zeigte ein Damals handelte es sich um eine einzige Bitcoin-Transaktion im Wert von 22 Millionen US-Dollar von der Zahlung.
Die Tochtergesellschaft fügte hinzu, dass die gestohlenen Daten trotz des Verlusts ihres Anteils am Lösegeld „immer noch bei uns“ seien, was darauf hindeutet, dass die geschädigte Tochtergesellschaft immer noch Zugriff auf Unmengen gestohlener sensibler medizinischer und Patientendaten hat.
UnitedHealth hat lehnte eine Bestätigung gegenüber Reportern ab ob das Lösegeld der Hacker gezahlt wurde, und sagte stattdessen, das Unternehmen konzentriere sich auf seine Ermittlungen. Als Tech UnitedHealth fragte, ob es die Berichte über die Zahlung eines Lösegelds bestreite, antwortete ein Unternehmenssprecher nicht.
Am 5. März war die Website von ALPHV/BlackCat verschwunden. Forscher glauben, dass es sich um einen Exit-Betrug handelt, bei dem die Hacker mit ihrem neuen Vermögen davonlaufen, um nie wieder gesehen zu werden, oder sich verstecken und sich später als neue Bande neu formieren.
Die Dark-Web-Website der Bande wurde durch einen Begrüßungsbildschirm ersetzt, der angeblich eine Beschlagnahmungsmitteilung der Strafverfolgungsbehörden darstellte. Im Dezember zerstörte eine weltweite Strafverfolgungsoperation Teile der Infrastruktur von ALPHV/BlackCat, doch die Bande kehrte zurück und begann bald, neue Opfer ins Visier zu nehmen. Aber dieses Mal Sicherheitsforscher vermutlich Die Die eigene Täuschung der Bande ist im Spielund nicht eine weitere rechtmäßige Deaktivierungsmaßnahme.
Ein Sprecher der britischen National Crime Agency, die letztes Jahr an der ersten Störungsaktion von ALPHV/BlackCat beteiligt war, sagte gegenüber Tech, dass die angeblich beschlagnahmte Website von ALPHV/BlackCat „kein Ergebnis von NCA-Aktivitäten“ sei. Auch andere globale Strafverfolgungsbehörden verneinte Beteiligung im plötzlichen Verschwinden der Gruppe.
Es ist nicht ungewöhnlich, dass Cyberkriminelle sich umwandeln oder umbenennen, um Reputationsprobleme loszuwerden, wie man es auch tun würde, nachdem man von Strafverfolgungsmaßnahmen erwischt wurde oder sich mit den illegalen Einkünften eines Partners davongemacht hat.
Selbst bei einer erfolgten Zahlung gibt es keine Garantie dafür, dass die Hacker die Daten löschen. Eine kürzlich durchgeführte weltweite Strafverfolgungsmaßnahme, die darauf abzielte, die weit verbreitete LockBit-Ransomware-Operation zu unterbinden, ergab, dass die Cybercrime-Bande die Daten des Opfers nicht immer löschte, wie sie behauptete, sie würde es tun, wenn ein Lösegeld gezahlt würde. Unternehmen haben begonnen anzuerkennen, dass die Zahlung eines Lösegelds keine Garantie für die Rückgabe ihrer Dateien darstellt.
Für diejenigen, die an vorderster Front der Cybersicherheit im Gesundheitswesen stehen, besteht das schlimmste Szenario darin, dass gestohlene Patientenakten öffentlich werden.
Die Patientensicherheit und die wirtschaftlichen Auswirkungen davon werden noch Jahre lang spürbar sein, sagte der Direktor für Cybersicherheit des Krankenhauses gegenüber Tech.
Sie arbeiten bei Change Healthcare, Optum oder UnitedHealth und wissen mehr über den Cyberangriff? Kontaktieren Sie uns über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail. Sie können Dateien und Dokumente auch über SecureDrop versenden.