La banda de ransomware que atacó al gigante tecnológico de la salud de EE. UU. Change Healthcare utilizó un conjunto de credenciales robadas para acceder de forma remota a los sistemas de la empresa que no contaban con autenticación multifactor (MFA), según el director ejecutivo de su empresa matriz, UnitedHealth Group (UHG).
El CEO de UnitedHealth, Andrew Witty, proporcionó testimonio por escrito antes de una audiencia de un subcomité de la Cámara sobre el ataque de ransomware de febrero que causó meses de interrupción en el sistema de atención médica de EE. UU.
Esta es la primera vez que el gigante de seguros de salud da una evaluación de cómo los hackers lograron entrar en los sistemas de Change Healthcare, durante los cuales se extrajeron enormes cantidades de datos de salud de sus sistemas. UnitedHealth dijo la semana pasada que los hackers robaron datos de salud de una “proporción sustancial de personas en América”.
Change Healthcare procesa reclamos de seguros de salud y facturación para alrededor de la mitad de todos los residentes de EE. UU.
Según el testimonio de Witty, los hackers criminales “utilizaron credenciales comprometidas para acceder de forma remota a un portal Citrix de Change Healthcare”. Organizaciones como Change utilizan software Citrix para permitir que los empleados accedan a sus computadoras de trabajo de forma remota en sus redes internas.
Witty no especificó cómo se robaron las credenciales. El Wall Street Journal informó por primera vez del uso de credenciales comprometidas por parte del hacker la semana pasada.
Sin embargo, Witty dijo que el portal “no tenía autenticación multifactor”, que es una característica de seguridad básica que previene el uso indebido de contraseñas robadas al requerir un segundo código enviado al dispositivo de confianza de un empleado, como su teléfono. No se sabe por qué Change no configuró la autenticación multifactor en este sistema, pero esto probablemente se convertirá en un enfoque para los investigadores que intentan comprender posibles deficiencias en los sistemas del asegurador.
“Una vez que el actor de amenazas obtuvo acceso, se movieron lateralmente dentro de los sistemas de formas más sofisticadas y extrajeron datos”, dijo Witty.
Witty dijo que los hackers desplegaron ransomware nueve días después, el 21 de febrero, lo que llevó al gigante de la salud a cerrar su red para contener la brecha.
UnitedHealth confirmó la semana pasada que la empresa pagó un rescate a los hackers que afirmaron ser responsables del ciberataque y el robo posterior de terabytes de datos robados. Los hackers, conocidos como RansomHub, son la segunda banda que reclama el robo de datos después de publicar una parte de los datos robados en la web oscura y exigir un rescate para no vender la información.
UnitedHealth dijo a principios de este mes que el ataque de ransomware le costó más de $870 millones en el primer trimestre, en el que la compañía generó cerca de $100 mil millones en ingresos.
