A gangue de ransomware que invadiu a gigante norte-americana de tecnologia de saúde Change Healthcare usou um conjunto de credenciais roubadas para acessar remotamente os sistemas da empresa que não eram protegidos por autenticação multifatorial, de acordo com o presidente-executivo de sua controladora, a UnitedHealth.
CEO da UnitedHealth, Andrew Witty forneceu o testemunho escrito antes de uma audiência do subcomitê da Câmara na quarta-feira sobre o ataque de ransomware de fevereiro que causou meses de interrupção no sistema de saúde dos EUA.
Esta é a primeira vez que a gigante dos seguros de saúde faz uma avaliação de como os hackers invadiram os sistemas da Change Healthcare, durante os quais enormes quantidades de dados de saúde foram exfiltrados dos seus sistemas. A UnitedHealth disse na semana passada que os hackers roubaram dados de saúde de uma “proporção substancial de pessoas na América”.
A Change Healthcare processa seguros de saúde e reclamações de cobrança para cerca de metade de todos os residentes dos EUA.
De acordo com o depoimento de Witty, os hackers criminosos “usaram credenciais comprometidas para acessar remotamente um portal Change Healthcare Citrix”. Organizações como a Change usam software Citrix para permitir que os funcionários acessem seus computadores de trabalho remotamente em suas redes internas.
Witty não entrou em detalhes sobre como as credenciais foram roubadas. Jornal de Wall Street relatou pela primeira vez o uso de credenciais comprometidas pelo hacker semana passada.
No entanto, Witty disse que o portal “não tinha autenticação multifator”, que é um recurso básico de segurança que evita o uso indevido de senhas roubadas, exigindo um segundo código enviado ao dispositivo confiável de um funcionário, como o telefone. Não se sabe por que a Change não configurou a autenticação multifatorial neste sistema, mas isso provavelmente se tornará um foco para os investigadores que tentam entender possíveis deficiências nos sistemas da seguradora.
“Depois que o agente da ameaça obteve acesso, ele se moveu lateralmente dentro dos sistemas de maneiras mais sofisticadas e exfiltrou os dados”, disse Witty.
Witty disse que os hackers implantaram o ransomware nove dias depois, em 21 de fevereiro, o que levou a gigante da saúde a desligar sua rede para conter a violação.
A UnitedHealth confirmou na semana passada que a empresa pagou um resgate aos hackers que assumiram a responsabilidade pelo ataque cibernético e pelo subsequente roubo de terabytes de dados roubados. Os hackers, conhecidos como RansomHub, são a segunda gangue a reivindicar o roubo de dados depois de postar uma parte dos dados roubados na dark web e exigir um resgate para não vender as informações.
A UnitedHealth disse no início deste mês que o ataque de ransomware custou mais de US$ 870 milhões no primeiro trimestre, no qual a empresa obteve receitas de cerca de US$ 100 bilhões.
