من المرجح أن يكون هجوم برامج الفدية الذي وقع في وقت سابق من هذا العام على شركة Change Healthcare المتخصصة في التكنولوجيا الصحية والمملوكة لشركة UnitedHealth أحد أكبر خروقات البيانات الصحية والطبية في الولايات المتحدة في التاريخ.
بعد أشهر من خرق البيانات في فبراير/شباط، يتلقى “نسبة كبيرة من الأشخاص الذين يعيشون في أمريكا” إشعارات بالبريد تفيد بأن معلوماتهم الشخصية والصحية قد سُرقت من قبل مجرمي الإنترنت أثناء الهجوم الإلكتروني على Change Healthcare.
تتولى Change Healthcare معالجة الفواتير والتأمين لمئات الآلاف من المستشفيات والصيدليات والممارسات الطبية في مختلف أنحاء قطاع الرعاية الصحية في الولايات المتحدة. وعلى هذا النحو، تجمع وتخزن كميات هائلة من البيانات الطبية شديدة الحساسية عن المرضى في الولايات المتحدة. ومن خلال سلسلة من عمليات الدمج والاستحواذ، أصبحت Change واحدة من أكبر معالجات البيانات الصحية في الولايات المتحدة، حيث تتولى التعامل مع ما بين ثلث ونصف جميع المعاملات الصحية في الولايات المتحدة.
إليك ما حدث منذ بدء هجوم برامج الفدية.
21 فبراير 2024
أول تقرير عن انقطاع التيار الكهربائي بعد وقوع حادث أمني
بدا الأمر وكأنه يوم أربعاء عادي، إلى أن لم يكن كذلك. كان الانقطاع مفاجئًا. في 21 فبراير، توقفت أنظمة الفواتير في عيادات الأطباء وممارسات الرعاية الصحية عن العمل، وتوقفت معالجة مطالبات التأمين. غمرت صفحة الحالة على موقع Change Healthcare الإلكتروني بإشعارات الانقطاع التي أثرت على كل جزء من أعمالها، وفي وقت لاحق من ذلك اليوم أكدت الشركة أنها “تواجه انقطاعًا في الشبكة يتعلق بمشكلة تتعلق بالأمن السيبراني”. من الواضح أن شيئًا ما قد حدث خطأً كبيرًا.
اتضح أن Change Healthcare قامت باستدعاء بروتوكولات الأمان الخاصة بها وأغلقت شبكتها بالكامل لعزل المتسللين الذين وجدتهم في أنظمتها. وهذا يعني انقطاعات مفاجئة وواسعة النطاق في قطاع الرعاية الصحية تعتمد شركة التأمين الصحي الأمريكية على عدد قليل من الشركات – مثل Change Healthcare – للتعامل مع مطالبات التأمين الصحي والفواتير لمساحات شاسعة من الولايات المتحدة. وقد تبين لاحقًا أن المتسللين اخترقوا أنظمة الشركة في البداية قبل أكثر من أسبوع، في أو حوالي 12 فبراير.
29 فبراير 2024
أكدت شركة UnitedHealth تعرضها لهجوم من عصابة برامج الفدية
بعد في البداية (وبشكل غير صحيح) نسب قالت شركة UnitedHealth في وقت لاحق في 29 فبراير إن الهجوم الإلكتروني كان في الواقع من عمل عصابة برامج الفدية، وذلك بعد أن هاجم قراصنة يعملون لصالح حكومة أو دولة. وقالت شركة UnitedHealth إن العصابة “قدم نفسه لنا باسم ALPHV/BlackCat” صرح متحدث باسم الشركة لموقع TechCrunch في ذلك الوقت. كما أعلن موقع تسريبات الويب المظلم المرتبط بعصابة ALPHV/BlackCat مسؤوليته عن الهجوم، مدعيًا أنه سرق معلومات صحية ومعلومات حساسة عن ملايين الأمريكيين، مما أعطى أول مؤشر على عدد الأفراد الذين تأثروا بهذا الحادث.
ALPHV (المعروفة أيضًا باسم BlackCat) هي عصابة معروفة باللغة الروسية تعمل في مجال برامج الفدية كخدمة. يخترق الشركاء التابعون لها – المتعاقدون الذين يعملون لصالح العصابة – شبكات الضحايا وينشرون البرامج الضارة التي طورها زعماء ALPHV/BlackCat، الذين يأخذون جزءًا من الأرباح التي يتم جمعها من الفدية التي يتم جمعها من الضحايا لاستعادة ملفاتهم.
لقد أدى إدراك أن الاختراق كان بسبب عصابة برامج الفدية إلى تغيير معادلة الهجوم من نوع القرصنة التي تقوم بها الحكومات – في بعض الأحيان لإرسال رسالة إلى حكومة أخرى بدلاً من نشر معلومات خاصة بملايين الأشخاص – إلى خرق تسبب فيه مجرمو الإنترنت بدوافع مالية، والذين من المرجح أن يستخدموا دليلاً مختلفًا تمامًا للحصول على رواتبهم.
3-5 مارس 2024
تدفع شركة UnitedHealth فدية قدرها 22 مليون دولار للمتسللين، الذين يختفون بعد ذلك
في أوائل مارس/آذار، اختفت عصابة برامج الفدية ALPHV. وتم استبدال موقع تسريب العصابة على شبكة الويب المظلمة، الذي تبنى قبل أسابيع مسؤولية الهجوم الإلكتروني، بإشعار مصادرة يزعم أن سلطات إنفاذ القانون في المملكة المتحدة والولايات المتحدة أغلقت موقع العصابة. لكن مكتب التحقيقات الفيدرالي والسلطات البريطانية نفت إسقاط عصابة برامج الفدية. لقد حاولوا قبل أشهرأشارت كل الدلائل إلى أن ALPHV هرب بالفدية وقام بعملية “احتيال خروج”.
في منشور، زعمت شركة ALPHV التابعة التي نفذت عملية الاختراق على Change Healthcare أن قيادة ALPHV سرقت 22 مليون دولار تم دفعها كفدية وتضمنت رابطًا إلى معاملة بيتكوين واحدة في الثالث من مارس/آذار، أعلنت الشركة التابعة أنها فقدت حصتها من مبلغ الفدية، لكن على الرغم من خسارتها لحصتها من مبلغ الفدية، قالت الشركة التابعة إن البيانات المسروقة “ما زالت معنا”. وكانت شركة UnitedHealth قد دفعت فدية للمتسللين الذين تركوا البيانات وراءهم واختفوا.
13 مارس 2024
اضطرابات واسعة النطاق في قطاع الرعاية الصحية في الولايات المتحدة وسط مخاوف من خرق البيانات
وفي الوقت نفسه، بعد مرور أسابيع على الهجوم الإلكتروني، كانت الانقطاعات لا تزال مستمرة كثيرون غير قادرين على الحصول على وصفاتهم الطبية وقال مقدم التأمين الصحي العسكري “تريكير” إن “جميع الصيدليات العسكرية في جميع أنحاء العالم” تأثرت أيضًا.
كانت الجمعية الطبية الأمريكية قائلا أن هناك القليل من المعلومات من UnitedHealth وChange Healthcare بشأن الانقطاعات المستمرة، مما يتسبب في حدوث خلل هائل استمرت في التأثير على قطاع الرعاية الصحية.
بحلول الثالث عشر من مارس/آذار، تلقت شركة Change Healthcare نسخة “آمنة” من البيانات المسروقة التي دفعت 22 مليون دولار مقابلها قبل أيام قليلة. وقد سمح هذا لشركة Change ببدء عملية فحص مجموعة البيانات لتحديد هوية الأشخاص الذين سُرقت معلوماتهم في الهجوم الإلكتروني، بهدف إخطار أكبر عدد ممكن من الأفراد المتضررين.
28 مارس 2024
الحكومة الأميركية ترفع مكافأتها إلى 10 ملايين دولار لمن يدلي بمعلومات تؤدي إلى القبض على ALPHV
وبحلول أواخر شهر مارس/آذار، أعلنت الحكومة الأميركية أنها ستزيد من مكافأتها للحصول على معلومات عن القيادات الرئيسية في منظمة ALPHV/BlackCat والمنظمات التابعة لها.
من خلال تقديم 10 ملايين دولار لأي شخص يمكن التعرف على الأفراد الذين يقفون وراء العصابة أو تحديد مكانهميبدو أن الحكومة الأميركية كانت تأمل أن ينقلب أحد أعضاء العصابة على زعمائهم السابقين. كما يمكن اعتبار ذلك بمثابة إدراك الولايات المتحدة للتهديد المتمثل في نشر عدد كبير من المعلومات الصحية الخاصة بالأميركيين على الإنترنت.
15 أبريل 2024
مقاول يشكل عصابة فدية جديدة وينشر بعض البيانات الصحية المسروقة
ثم كان هناك اثنان ــ الفدية، على وجه التحديد. وبحلول منتصف أبريل/نيسان، أنشأت الشركة التابعة المظلومة شبكة ابتزاز جديدة تسمى RansomHub، وبما أنها لا تزال تحتفظ بالبيانات التي سرقتها من Change Healthcare، فقد طالبت بفدية ثانية من UnitedHealth. وبذلك، لم تتمكن RansomHub من استرداد البيانات التي سرقتها من Change Healthcare. نشر جزء من الملفات المسروقة تحتوي على ما يبدو أنها سجلات خاصة وحساسة للمرضى كدليل على التهديد الذي يشكلونه.
لا تقوم عصابات برامج الفدية بتشفير الملفات فحسب؛ بل إنها تسرق أيضًا أكبر قدر ممكن من البيانات التهديد بنشر الملفات إذا لم يتم دفع فديةيُعرف هذا باسم “الابتزاز المزدوج”. في بعض الحالات عندما يدفع الضحية، يمكن لعصابة برامج الفدية ابتزاز الضحية مرة أخرى – أو في حالات أخرى، ابتزاز عملاء الضحية، وهو ما يُعرف باسم “الابتزاز الثلاثي”.
والآن بعد أن أصبحت شركة يونايتد هيلث على استعداد لدفع فدية واحدة، أصبح هناك خطر من تعرض عملاق الرعاية الصحية للابتزاز مرة أخرى. ولهذا السبب، دعت جهات إنفاذ القانون منذ فترة طويلة إلى عدم دفع فدية تسمح للمجرمين بالاستفادة من الهجمات الإلكترونية.
22 أبريل 2024
تقول شركة UnitedHealth إن قراصنة برامج الفدية سرقوا بيانات صحية عن “نسبة كبيرة من الأشخاص في أمريكا”
وللمرة الأولى، أكدت شركة UnitedHealth في 22 أبريل – بعد أكثر من شهرين من بدء هجوم برامج الفدية – أن هناك خرقًا للبيانات ومن المحتمل أن يكون “يؤثر على “نسبة كبيرة من الناس في أمريكا”” ولم يذكر التقرير عدد الملايين من الأشخاص الذين شملهم هذا الأمر. كما أكدت شركة UnitedHealth أنها دفعت فدية مقابل البيانات، لكنها لم تذكر عدد الفدية التي دفعت في النهاية.
وقالت الشركة إن البيانات المسروقة تتضمن معلومات حساسة للغاية، بما في ذلك السجلات الطبية والمعلومات الصحية، والتشخيصات، والأدوية، ونتائج الاختبارات، والتصوير، وخطط الرعاية والعلاج، وغيرها من المعلومات الشخصية.
وبما أن Change Healthcare تتعامل مع بيانات حوالي ثلث سكان الولايات المتحدة، فمن المرجح أن يؤثر خرق البيانات على أكثر من 100 مليون شخص على الأقل. وعندما تواصلت TechCrunch مع المتحدث باسم UnitedHealth، لم يشكك في الرقم المحتمل للتأثر ولكنه قال إن مراجعة البيانات التي تجريها الشركة مستمرة.
1 مايو 2024
الرئيس التنفيذي لمجموعة UnitedHealth يشهد بأن Change لم تكن تستخدم الأمن السيبراني الأساسي
ربما ليس من المستغرب عندما تتعرض شركتك لأحد أكبر عمليات اختراق البيانات في التاريخ الحديث، فمن المؤكد أن رئيسها التنفيذي سوف يتم استدعاؤه للإدلاء بشهادته أمام المشرعين.
هذا ما حدث مع الرئيس التنفيذي لمجموعة UnitedHealth Group (UHG) أندرو ويتي، الذي اعترف في الكونجرس بأن المتسللين اخترقوا أنظمة Change Healthcare استخدام كلمة مرور واحدة محددة على حساب مستخدم غير محمي بمصادقة متعددة العوامل، وهي ميزة أمان أساسية يمكنها منع هجمات إعادة استخدام كلمة المرور من خلال طلب رمز ثانٍ يتم إرساله إلى هاتف صاحب الحساب.
واحد من أكبر خروقات البيانات كانت الرسالة الرئيسية هي أن الاختراق الذي حدث في تاريخ الولايات المتحدة كان من الممكن منعه تمامًا. وقال وييتي إن اختراق البيانات من المرجح أن يؤثر على حوالي ثلث الأشخاص الذين يعيشون في أمريكا – بما يتماشى مع تقديرات الشركة السابقة بأن الاختراق يؤثر على حوالي نفس عدد الأشخاص الذين تعالج Change Healthcare مطالبات الرعاية الصحية الخاصة بهم.
20 يونيو 2024
بدأت UHG في إخطار المستشفيات ومقدمي الخدمات الطبية المتضررة بالبيانات التي تمت سرقتها
استغرق الأمر حتى 20 يونيو من Change Healthcare البدء في إخطار الأفراد المتضررين رسميًا أن معلوماتهم قد سُرقت، كما هو مطلوب قانونًا بموجب قانون يُعرف باسم HIPAA، ومن المحتمل أن يكون السبب في ذلك جزئيًا هو الحجم الهائل لمجموعة البيانات المسروقة.
الشركة نشر إشعارًا يكشف عن خرق البيانات وقالت الشركة إنها ستبدأ في إخطار الأفراد الذين حددتهم في النسخة “الآمنة” من البيانات المسروقة. لكن شركة Change قالت إنها “لا تستطيع تأكيد البيانات المسروقة عن كل فرد على وجه التحديد وأن المعلومات قد تختلف من شخص لآخر”. وتقول شركة Change إنها نشرت الإشعار على موقعها على الإنترنت، حيث “قد لا يكون لديها عناوين كافية لجميع الأفراد المتضررين”.
كان الحادث كبيرًا ومعقدًا لدرجة أن وزارة الصحة والخدمات الإنسانية الأمريكية تدخل وقال يمكن لمقدمي الرعاية الصحية المتضررين، الذين يتأثر مرضاهم في نهاية المطاف بالاختراق، أن يطلبوا من UnitedHealth إخطار المرضى المتضررين نيابة عنهم، وهي محاولة تهدف إلى تخفيف العبء على مقدمي الخدمات الأصغر حجمًا الذين تضررت مواردهم المالية وسط الانقطاع المستمر.
29 يوليو 2024
بدأت شركة Change Healthcare في إخطار الأفراد المتضررين المعروفين من خلال الرسائل
وأكدت شركة التكنولوجيا الصحية العملاقة في أواخر يونيو أن ستبدأ في إخطار أولئك الذين سُرقت بيانات الرعاية الصحية الخاصة بهم في هجومها باستخدام برامج الفدية على أساس مستمر. بدأت هذه العملية في أواخر يوليو.
من المرجح أن تأتي الرسائل المرسلة إلى الأفراد المتضررين من Change Healthcare، إن لم تكن من مقدم الرعاية الصحية المحدد الذي تأثر بالاختراق في Change. تؤكد الرسالة أنواع البيانات التي تمت سرقتها، بما في ذلك البيانات الطبية ومعلومات التأمين الصحي، ومعلومات المطالبات والدفع، والتي قالت Change إنها تتضمن معلومات مالية ومصرفية.