UnitedHealth xác nhận đã trả tiền chuộc cho nhóm ransomware để ngăn chặn rò rỉ dữ liệu

Cuộc tấn công đã dẫn đến sự cố ngừng hoạt động, ảnh hưởng đến khoản thanh toán của Change Healthcare, ảnh hưởng đến một loạt dịch vụ quan trọng được các nhà cung cấp dịch vụ chăm sóc sức khỏe và hiệu thuốc trên khắp Hoa Kỳ sử dụng, bao gồm xử lý thanh toán, viết đơn thuốc và yêu cầu bảo hiểm.

UnitedHealth cho biết cuộc tấn công mạng đã gây ra thiệt hại tài chính 872 triệu USD.

Nhóm ransomware BlackCat/ALPHV xác nhận đã thực hiện vụ tấn công, cáo buộc đã đánh cắp 6TB dữ liệu nhạy cảm của bệnh nhân. Vào đầu tháng 3, BlackCat đã thực hiện một vụ lừa đảo rút lui sau khi bị cáo buộc nhận được 22 triệu USD tiền chuộc từ UnitedHealth.

Vào thời điểm đó, một trong những nhóm của băng đảng có tên là "Notchy" cho biết chúng có dữ liệu của UnitedHealth vì chúng đã tiến hành cuộc tấn công và BlackCat đã lừa họ trả tiền chuộc.

Giao dịch được hiển thị trên Bitcoin blockchain và được các nhà nghiên cứu xác nhận là đã truy cập vào ví được tin tặc BlackCat sử dụng.

Một tuần sau, chính phủ Hoa Kỳ mở cuộc điều tra xem liệu dữ liệu sức khỏe có bị đánh cắp trong vụ tấn công bằng ransomware tại Optum hay không.

Đến giữa tháng 4, nhóm tống tiền RansomHub thậm chí còn gây áp lực nhiều hơn cho UnitedHealth bằng cách bắt đầu rò rỉ những gì họ cho là dữ liệu công ty và bệnh nhân bị đánh cắp trong cuộc tấn công.

Dữ liệu bệnh nhân của UnitedHealth mà RansomHub có được sau khi "Notchy" hợp tác với chúng để tống tiền UnitedHealth một lần nữa.

Dữ liệu bị đánh cắp dữ liệu và yêu cầu trả tiền chuộc

Trong một thông báo với BleepingComputer, UnitedHealth xác nhận họ đã trả tiền chuộc để tránh dữ liệu bệnh nhân bị bán cho tội phạm mạng hoặc bị rò rỉ công khai.

"Một khoản tiền chuộc đã được trả là một phần trong cam kết của công ty nhằm làm tất cả những gì có thể để bảo vệ dữ liệu của bệnh nhân khỏi bị tiết lộ" - UnitedHealth Group cho biết.

BleepingComputer đã kiểm tra trang web rò rỉ dữ liệu của RansomHub và xác nhận rằng kẻ đe dọa đã xóa UnitedHealth khỏi danh sách nạn nhân.

Việc UnitedHealth được xóa khỏi trang web của RansomHub cho thấy rằng họ chỉ mới thanh toán cho nhóm ransomware mới chứ không phải khoản thanh toán 22 triệu đô la được cho là đã thanh toán cho BlackCat vào tháng 3.

Ngày 22 tháng 4, UnitedHealth đã đăng bản cập nhật trên trang web của mình thông báo hỗ trợ cho những người có dữ liệu bị lộ do cuộc tấn công bằng ransomware tháng 2, chính thức xác nhận sự cố vi phạm dữ liệu.

Thông báo cho biết: “Dựa trên việc lấy mẫu dữ liệu được nhắm mục tiêu ban đầu cho đến nay, công ty đã tìm thấy các tệp chứa thông tin sức khỏe được bảo vệ (PHI) hoặc thông tin nhận dạng cá nhân (PII), có thể bao gồm một tỷ lệ đáng kể người dân ở Mỹ”.

UnitedHealth cho biết: “Cho đến nay, công ty chưa thấy bằng chứng nào về việc rò rỉ các tài liệu như biểu đồ của bác sĩ hoặc lịch sử y tế đầy đủ trong dữ liệu”.

UnitedHealth trấn an bệnh nhân rằng chỉ có 22 ảnh chụp màn hình của các tệp bị đánh cắp, một số chứa thông tin nhận dạng cá nhân, được đăng trên web đen và không có dữ liệu nào khác bị lấy cắp trong cuộc tấn công được công bố “vào thời điểm này”.

Tổ chức dịch vụ và bảo hiểm y tế hứa sẽ gửi thông báo được cá nhân hóa sau khi hoàn tất cuộc điều tra về loại thông tin đã bị xâm phạm.

Một trung tâm cuộc gọi chuyên dụng sẽ cung cấp hai năm dịch vụ giám sát tín dụng miễn phí và bảo vệ chống trộm danh tính cũng đã được thành lập như một phần trong nỗ lực của tổ chức nhằm hỗ trợ những người bị ảnh hưởng.

Hiện tại, 99% dịch vụ bị ảnh hưởng đang hoạt động, các yêu cầu y tế được xử lý ở mức gần như bình thường và quá trình xử lý thanh toán ở mức khoảng 86%.

Nguồn: bleepingcomputer.com