كيف وقع هجوم برنامج الفدية على Change Healthcare: جدول زمني
من المحتمل أن يكون هجوم برامج الفدية في وقت سابق من هذا العام على شركة التكنولوجيا الصحية Change Healthcare المملوكة لشركة UnitedHealth أحد أكبر خروقات البيانات للبيانات الصحية والطبية الأمريكية في التاريخ.
اختراق البيانات
بعد أشهر من اختراق البيانات في فبراير، تلقت “نسبة كبيرة من الأشخاص الذين يعيشون في أمريكا” إشعارًا عبر البريد بأن معلوماتهم الشخصية والصحية قد سُرقت من قبل مجرمي الإنترنت أثناء الهجوم الإلكتروني على Change Healthcare.
معالجة الفواتير والتأمين
تقوم شركة Change Healthcare بمعالجة الفواتير والتأمين لمئات الآلاف من المستشفيات والصيدليات والممارسات الطبية عبر قطاع الرعاية الصحية في الولايات المتحدة. وعلى هذا النحو، فهو يجمع ويخزن كميات هائلة من البيانات الطبية الحساسة للغاية عن المرضى في الولايات المتحدة. من خلال سلسلة من عمليات الدمج والاستحواذ، أصبحت شركة Change واحدة من أكبر معالجات البيانات الصحية في الولايات المتحدة، حيث تعاملت مع ما بين ثلث ونصف جميع المعاملات الصحية في الولايات المتحدة.
إليك ما حدث منذ بدء هجوم برامج الفدية.
21 فبراير 2024
التقرير الأول عن انقطاع التيار الكهربائي مع ظهور حادث أمني
بدا الأمر وكأنه عصر يوم أربعاء عادي، إلى أن لم يكن كذلك. وكان الانقطاع مفاجئا. في 21 فبراير، توقفت أنظمة الفوترة في مكاتب الأطباء وممارسات الرعاية الصحية عن العمل، وتوقفت معالجة مطالبات التأمين. امتلأت صفحة الحالة على موقع Change Healthcare الإلكتروني بإشعارات الانقطاع التي أثرت على كل جزء من أعمالها، وفي وقت لاحق من ذلك اليوم أكدت الشركة أنها “تواجه انقطاعًا في الشبكة يتعلق بمشكلة تتعلق بالأمن السيبراني”. من الواضح أن شيئًا ما قد حدث بشكل خاطئ للغاية.
قطاع الرعاية الصحية
اتضح أن شركة Change Healthcare قامت باستدعاء بروتوكولاتها الأمنية وأغلقت شبكتها بالكامل لعزل المتسللين الذين عثرت عليهم في أنظمتها. وهذا يعني انقطاعًا مفاجئًا وواسع النطاق في قطاع الرعاية الصحية الذي يعتمد على عدد قليل من الشركات – مثل Change Healthcare – للتعامل مع التأمين الصحي ومطالبات الفواتير لمساحات واسعة من الولايات المتحدة. وتبين لاحقًا أن المتسللين اخترقوا أنظمة الشركة في البداية قبل أكثر من أسبوع، في 12 فبراير أو حوالي ذلك التاريخ.
29 فبراير 2024
تؤكد شركة UnitedHealth أنها تعرضت لهجوم من عصابة برامج الفدية
بعد أن نسبت شركة UnitedHealth في البداية (وبشكل غير صحيح) الاختراق إلى قراصنة يعملون لصالح حكومة أو دولة قومية، قالت لاحقًا في 29 فبراير إن الهجوم السيبراني كان في الواقع من عمل عصابة برامج الفدية. وقالت شركة UnitedHealth إن العصابة “قدمت نفسها لنا على أنها ALPHV/BlackCat”، حسبما صرح متحدث باسم الشركة لـ TechCrunch في ذلك الوقت. كما تبنى موقع تسريب على شبكة الإنترنت المظلمة مرتبط بعصابة ALPHV/BlackCat الهجوم، مدعيًا أنه سرق معلومات حساسة تتعلق بالصحة والمرضى لملايين الأمريكيين، مما يعطي أول إشارة إلى عدد الأفراد الذين تأثروا بهذا الحادث.
عصابة معروفة
ALPHV (المعروفة أيضًا باسم BlackCat) هي عصابة معروفة من برامج الفدية كخدمة ناطقة بالروسية. تقوم الشركات التابعة لها – المتعاقدون الذين يعملون لصالح العصابة – باقتحام شبكات الضحايا ونشر البرمجيات الخبيثة التي طورها قادة ALPHV/BlackCat، الذين يأخذون جزءًا من الأرباح التي تم جمعها من الفديات التي تم جمعها من الضحايا لاستعادة ملفاتهم.
الاختراق
إن معرفة أن الاختراق كان بسبب عصابة برامج فدية قد غيّر معادلة الهجوم من نوع القرصنة التي تقوم بها الحكومات – أحيانًا لإرسال رسالة إلى حكومة أخرى بدلاً من نشر المعلومات الخاصة لملايين الأشخاص – إلى الاختراق الذي يسببه مجرمون إلكترونيون ذوو دوافع مالية. ، الذين من المحتمل أن يستخدموا قواعد لعب مختلفة تمامًا للحصول على يوم الدفع.
3-5 مارس 2024
تدفع شركة UnitedHealth فدية قدرها 22 مليون دولار للقراصنة الذين يختفون بعد ذلك
وفي أوائل شهر مارس، اختفت عصابة برامج الفدية ALPHV. تم استبدال موقع التسريب الخاص بالعصابة على الويب المظلم، والذي تولى المسؤولية عن الهجوم الإلكتروني قبل أسابيع، بإشعار مصادرة يدعي أن سلطات إنفاذ القانون في المملكة المتحدة والولايات المتحدة أزالت موقع العصابة. لكن كلاً من مكتب التحقيقات الفيدرالي (FBI) وسلطات المملكة المتحدة نفيا القضاء على عصابة برامج الفدية كما حاولوا قبل أشهر. أشارت جميع الدلائل إلى هروب ALPHV بالفدية وسحب “عملية احتيال خروج”.
البيانات المسروقة
في منشور، زعمت الشركة التابعة لـ ALPHV التي نفذت الاختراق على Change Healthcare أن قيادة ALPHV سرقت 22 مليون دولار تم دفعها كفدية وتضمنت رابطًا لمعاملة بيتكوين واحدة في 3 مارس كدليل على ادعائها. ولكن على الرغم من خسارة حصتها من دفع الفدية، قالت الشركة التابعة إن البيانات المسروقة “لا تزال معنا”. دفعت شركة UnitedHealth فدية للمتسللين الذين تركوا البيانات وراءهم واختفوا.
13 مارس 2024
اضطراب واسع النطاق في مجال الرعاية الصحية في الولايات المتحدة وسط مخاوف من اختراق البيانات
وفي الوقت نفسه، بعد مرور أسابيع على الهجوم السيبراني، كان انقطاع الخدمة لا يزال مستمرًا، حيث لم يتمكن الكثيرون من الحصول على وصفاتهم الطبية أو اضطروا إلى الدفع نقدًا من جيوبهم. وقالت شركة التأمين الصحي العسكري TriCare إن “جميع الصيدليات العسكرية في جميع أنحاء العالم” تأثرت أيضًا.
الجمعية الطبية الأمريكية
كانت الجمعية الطبية الأمريكية تقول إن هناك القليل من المعلومات من UnitedHealth وChange Healthcare حول الانقطاعات المستمرة، مما تسبب في اضطراب هائل استمر في الانتشار عبر قطاع الرعاية الصحية.
بحلول 13 مارس، تلقت منظمة Change Healthcare نسخة “آمنة” من البيانات المسروقة والتي كانت قد دفعت مقابلها قبل أيام فقط 22 مليون دولار. سمح ذلك لـ Change ببدء عملية البحث في مجموعة البيانات لتحديد المعلومات التي تمت سرقتها في الهجوم الإلكتروني، بهدف إخطار أكبر عدد ممكن من الأفراد المتضررين.
28 مارس 2024
الحكومة الأمريكية ترفع المكافأة إلى 10 ملايين دولار لمن يدلي بمعلومات تؤدي إلى القبض على ALPHV
وبحلول أواخر شهر مارس/آذار، قالت الحكومة الأمريكية إنها تزيد من مكافآتها للحصول على معلومات عن القيادة الرئيسية لـ ALPHV/BlackCat والشركات التابعة لها.
10 ملايين دولار
ومن خلال تقديم مبلغ 10 ملايين دولار لأي شخص يمكنه التعرف على الأفراد الذين يقفون وراء العصابة أو تحديد مكانهم، يبدو أن حكومة الولايات المتحدة تأمل في أن ينقلب أحد المطلعين على بواطن العصابة على قادتهم السابقين. ويمكن أيضًا أن يُنظر إليه على أنه إدراك الولايات المتحدة للتهديد المتمثل في احتمال نشر عدد كبير من المعلومات الصحية للأمريكيين عبر الإنترنت.
15 أبريل 2024
المقاول يشكل عصابة فدية جديدة وينشر بعض البيانات الصحية المسروقة
ثم كان هناك نوعان من الفدية، أي. بحلول منتصف أبريل، أنشأت الشركة التابعة المظلومة مضرب ابتزاز جديد يسمى RansomHub، وبما أنها لا تزال تمتلك البيانات التي سرقتها من Change Healthcare، فقد طلبت فدية ثانية من UnitedHealth. ومن خلال القيام بذلك، نشرت RansomHub جزءًا من الملفات المسروقة التي تحتوي على ما يبدو أنها سجلات خاصة وحساسة للمرضى كدليل على تهديدهم.
عصابات برامج الفدية
لا تقوم عصابات برامج الفدية بتشفير الملفات فحسب؛ كما أنهم يسرقون أكبر قدر ممكن من البيانات ويهددون بنشر الملفات إذا لم يتم دفع الفدية. ويُعرف هذا باسم “الابتزاز المزدوج”. في بعض الحالات، عندما يدفع الضحية، يمكن لعصابة برامج الفدية ابتزاز الضحية مرة أخرى – أو، في حالات أخرى، ابتزاز عملاء الضحية، وهو ما يُعرف باسم “الابتزاز الثلاثي”.
والآن بعد أن أصبحت شركة UnitedHealth على استعداد لدفع فدية واحدة، هناك خطر تعرض شركة الرعاية الصحية العملاقة للابتزاز مرة أخرى. ولهذا السبب دعت جهات إنفاذ القانون منذ فترة طويلة إلى عدم دفع فدية تسمح للمجرمين بالاستفادة من الهجمات الإلكترونية.
22 أبريل 2024
تقول شركة UnitedHealth إن قراصنة برامج الفدية سرقوا بيانات صحية عن “نسبة كبيرة من الأشخاص في أمريكا”
للمرة الأولى، أكدت شركة UnitedHealth في 22 أبريل – بعد أكثر من شهرين من بدء هجوم برامج الفدية – أن هناك خرقًا للبيانات وأنه من المحتمل أن يؤثر على “نسبة كبيرة من الأشخاص في أمريكا”، دون تحديد عدد الملايين من الأشخاص الذين تعرضوا لذلك. يستلزم. وأكدت شركة UnitedHealth أيضًا أنها دفعت فدية مقابل البيانات، لكنها لم تذكر عدد الفدية التي دفعتها في النهاية.
معلومات حساسة
وقالت الشركة إن البيانات المسروقة تتضمن معلومات حساسة للغاية، بما في ذلك السجلات الطبية والمعلومات الصحية والتشخيصات والأدوية ونتائج الاختبارات والتصوير وخطط الرعاية والعلاج وغيرها من المعلومات الشخصية.
ونظرًا لأن شركة Change Healthcare تتعامل مع بيانات حوالي ثلث جميع الأشخاص الذين يعيشون في الولايات المتحدة، فمن المرجح أن يؤثر خرق البيانات على أكثر من 100 مليون شخص على الأقل. عندما تواصلت TechCrunch مع المتحدث باسم UnitedHealth، لم يشكك في العدد المحتمل المتأثر لكنه قال إن مراجعة بيانات الشركة مستمرة.
1 مايو 2024
يشهد الرئيس التنفيذي لمجموعة UnitedHealth Group أن التغيير لم يكن يستخدم الأمن السيبراني الأساسي
ربما ليس من المستغرب أنه عندما تتعرض شركتك لواحدة من أكبر عمليات اختراق البيانات في التاريخ الحديث، فلا بد أن يتم استدعاء رئيسها التنفيذي للإدلاء بشهادته أمام المشرعين.
هذا ما حدث مع الرئيس التنفيذي لشركة UnitedHealth Group (UHG)، أندرو ويتي، الذي اعترف في الكابيتول هيل بأن المتسللين اقتحموا أنظمة Change Healthcare باستخدام كلمة مرور واحدة محددة على حساب مستخدم غير محمي بمصادقة متعددة العوامل، وهي ميزة أمان أساسية يمكنها منع هجمات إعادة استخدام كلمة المرور عن طريق طلب رمز ثانٍ يتم إرساله إلى هاتف صاحب الحساب هذا.
الرسالة الرئيسية
كانت الرسالة الرئيسية هي أن إحدى أكبر خروقات البيانات في تاريخ الولايات المتحدة كان من الممكن منعها تمامًا. وقال ويتي إن خرق البيانات من المرجح أن يؤثر على حوالي ثلث الأشخاص الذين يعيشون في أمريكا – بما يتماشى مع التقديرات السابقة للشركة بأن الاختراق يؤثر على عدد مماثل من الأشخاص الذين تعالج منظمة Change Healthcare مطالبات الرعاية الصحية لهم.
20 يونيو 2024
تبدأ UHG في إخطار المستشفيات ومقدمي الخدمات الطبية المتأثرين بالبيانات المسروقة
استغرق الأمر من منظمة Change Healthcare حتى 20 يونيو لبدء إخطار الأفراد المتضررين رسميًا بأن معلوماتهم قد سُرقت، كما هو مطلوب قانونًا بموجب القانون المعروف باسم HIPAA، والذي من المحتمل أن يتأخر جزئيًا بسبب الحجم الهائل لمجموعة البيانات المسروقة.
ونشرت الشركة إشعارًا يكشف عن خرق البيانات وقالت إنها ستبدأ في إخطار الأفراد الذين حددتهم في النسخة “الآمنة” من البيانات المسروقة. لكن منظمة Change قالت إنها “لا تستطيع أن تؤكد بالضبط” ما هي البيانات المسروقة عن كل فرد وأن المعلومات قد تختلف من شخص لآخر. يقول التغيير إنه كان ينشر الإشعار على موقعه على الإنترنت، لأنه “قد لا يكون لديه عناوين كافية لجميع الأفراد المتضررين”.
الخدمات الإنسانية
كان الحادث كبيرًا ومعقدًا لدرجة أن وزارة الصحة والخدمات الإنسانية الأمريكية تدخلت وقالت إن مقدمي الرعاية الصحية المتأثرين، الذين يتأثر مرضاهم في النهاية بالانتهاك، يمكنهم أن يطلبوا من UnitedHealth إخطار المرضى المتضررين نيابة عنهم، وهو جهد يُنظر إليه على أنه تقليل العبء على مقدمي الخدمات الصغار الذين تضررت مواردهم المالية وسط الانقطاع المستمر.
29 يوليو 2024
تبدأ شركة Change Healthcare في إخطار الأفراد المتأثرين المعروفين عبر خطاب
أكدت شركة التكنولوجيا الصحية العملاقة في أواخر يونيو أنها ستبدأ في إخطار أولئك الذين سُرقت بيانات الرعاية الصحية الخاصة بهم في هجوم برامج الفدية على أساس متجدد. وبدأت هذه العملية في أواخر يوليو/تموز.
من المرجح أن تأتي الرسائل الموجهة إلى الأفراد المتأثرين من Change Healthcare، إن لم يكن من مقدم الرعاية الصحية المحدد المتأثر بالاختراق في Change. وتؤكد الرسالة أنواع البيانات المسروقة، بما في ذلك البيانات الطبية ومعلومات التأمين الصحي، والمطالبات ومعلومات الدفع، والتي قال تشينج إنها تتضمن معلومات مالية ومصرفية.