Het was waarschijnlijk de sterkste cyberaanval op het Amerikaanse gezondheidszorgsysteem tot nu toe: The De ALPHV/BlackCat-ransomware infecteerde de verzekeraar UnitedHealth en zijn technologiedienstverlener Change Healthcare. Het resultaat: recepten kunnen slechts in beperkte mate worden ingewisseld en gefactureerd.
Onlangs werd UnitedHealth, een van de grootste verzekeraars in de Verenigde Staten, het slachtoffer van een ransomware-aanval. Het trof honderden miljoenen mensen – meer dan welke eerdere aanval dan ook.
Concreet slaagde de ‘ALPHV’-ransomwarebende, ook bekend als BlackCat, erin de servers van Change Healthcare te infecteren. Dit is een dochteronderneming die UnitedHealth in 2022 kocht voor $ 8 miljard.
Change beheert de aflossing van medicijnrecepten en de uitbetalingen aan apotheken, ongeveer 15 miljard recepten of $1,5 biljoen per jaar. Het bedrijf exploiteert ook platforms die artsen en klinieken helpen met diagnoses, feedback van patiënten vastleggen, afspraken plannen en meer.
Door de ALPHV-aanval werden 111 Change Healthcare-diensten uitgeschakeld. Apotheken konden geen betalingsaanvragen indienen bij verzekeringsmaatschappijen, patiënten konden geen recepten invullen, afsprakenkalenders werden geannuleerd en meer. Honderden miljoenen mensen werden direct of indirect getroffen, voornamelijk in de VS, maar ook in Canada, Taiwan, Nieuw-Zeeland en andere landen.
Het Amerikaanse ministerie van Volksgezondheid raakte er snel bij betrokken. Het coördineerde de reactie van de verschillende actoren – artsen, klinieken, verzekeringsmaatschappijen, apotheken, verenigingen – waardoor waarschijnlijk het ergste werd voorkomen. Toch kost de uitval van Change Healthcare Amerikaanse gezondheidszorgaanbieders naar schatting $100 miljoen per dag, en veel patiënten lopen de noodzakelijke medicijnen mis.
Change Healthcare is momenteel immers de systemen weer aan het opvoeren. Zij verwacht vanaf half maart de recepten weer te kunnen verwerken. Beveiligingsexperts vermoeden dat UnitedHealth het losgeld van 350 Bitcoin heeft betaald – momenteel ruim 25 miljoen dollar. Het bedrijf zelf geeft hier echter geen commentaar op.
Als vervolging vruchteloos blijft
De ransomwarebende achter deze grootste gezondheidszorgaanval tot nu toe is geen onbekende. ALPHV/BlackCat is bekend van talloze spectaculaire aanslagen, bijvoorbeeld op de Zwitserse vermogensbeheerder Finaport, het Hamburgse logistieke bedrijf Oiltanking, de Ecuadoraanse hoofdstad Quito, de regering van Karinthië en vele anderen.
Iets meer dan een jaar geleden werd de ALPHV-ransomware beschouwd als een van de grootste bedreigingen in cyberspace. De Russische hackers werken samen met andere overwegend Russische cybercriminelen die optreden als “distributeurs” en de ransomware naar de systemen van hun slachtoffers smokkelen. Helaas codeert BlackCat niet alleen de gegevens om losgeld te eisen, maar dreigt ook gevoelige gegevens en DoS-aanvallen te publiceren. Deskundigen spreken dan ook van ‘triple chantage’.
In december vorig jaar slaagde het Amerikaanse ministerie van Justitie erin de BlackCat/ALPHV-website in beslag te nemen. Via hen coördineerde de bende hun activiteiten en publiceerde ze lekken. De hackers konden de site kortstondig weer ‘deconfisqueren’, waarna ze een cartoonachtige afbeelding van een zwarte kat plaatsten en aankondigden dat ze als vergelding alle beperkingen zouden opheffen, zodat hun ‘gebruikers’ ook ‘kritieke infrastructuur’ konden aanvallen. Twee uur later nam het ministerie van Justitie het terrein weer over.
Het ministerie spreekt van een beslissende klap. Ook Duitse, Britse, Deense, Australische en Spaanse onderzoekers waren bij het onderzoek betrokken; Hun grootste succes was echter wellicht het veiligstellen van de decoderingssleutels, waardoor meer dan 500 slachtoffers van de ransomwarebende hun gegevens konden herstellen.
De hackers zelf blijven op vrije voeten. Zolang ze opereren in de veilige haven van Rusland, dat sinds de aanval op Oekraïne minder dan ooit heeft samengewerkt met internationale aanklagers, lopen ze weinig gevaar van westerse onderzoekers. Vermoedelijk zal de Russische inlichtingendienst aanvallen op de infrastructuur in het Westen niet alleen tolereren, maar deze ook door de vingers zien of zelfs ondersteunen.
Blijkbaar had ALPHV nog steeds koude voeten. Nadat de hackers een betaling van 350 Bitcoins hadden ontvangen – het exacte bedrag dat ze bij UnitedHealth hadden aangevraagd – gaf hun (nieuwe) darknet-website aan dat deze in beslag was genomen door de FBI en de Britse politie. De twee politieautoriteiten ontkenden dit echter en daarom gaat Ars Technica ervan uit dat de hackers met pensioen gaan.
Ransomware werd onvermijdelijk
Hoe dan ook, de wereld moet leren leven met het feit dat zij geplaagd wordt door ransomware, en dat hoe belangrijker een digitale infrastructuur is, hoe groter de kans is dat deze een doelwit wordt. Met een sterke cyberbeveiliging zou dit alleen maar hinderlijk kunnen zijn, zoals muggen in de zomer, en idealiter zelfs een systeem voor vroegtijdige waarschuwing dat helpt essentiële servers te beschermen.
Diensten zoals die van Change Healthcare – het inwisselen en factureren van recepten – schreeuwen erom om via een blockchain te worden geïmmuniseerd tegen ransomware. Voor de reeds getroffen patiënten en klanten is dit uiteraard te laat. Hoewel ze uitkijken naar de spoedige ingebruikname van de factureringssystemen, moeten ze toch vrezen dat hun privégegevens op het dark web terechtkomen.
Source:https://bitcoinblog.de/2024/03/13/ransomware-angriff-legt-einloesung-von-rezepten-in-den-usa-lahm/