Escuchar artículo 5 minutos Este audio se genera automáticamente. Háganos saber si tiene algún comentario.
El director ejecutivo de UnitedHealth Group, Andrew Whitty, testificó la semana pasada sobre la respuesta de la compañía al ataque de ransomware a su filial Change Healthcare, pero no proporcionó todas las respuestas que buscaban los legisladores.
Whitty describió cómo el grupo de ransomware AlphV se infiltró en el entorno de TI de Change el 12 de febrero y qué sucedió después de que robaron los datos de un tercio de los residentes de EE. UU. e implementaron el ransomware.
Durante más de cuatro horas antes de dos audiencias en el Congreso, los asediados líderes de la industria de la salud presentaron preguntas clave que explican por qué los ataques de finales de febrero tuvieron un impacto tan devastador en la industria de la salud.
Aquí hay cinco conclusiones del testimonio del Sr. Whitty.
1. La tecnología heredada en Change amplificó el impacto del ataque
Change Healthcare se fundó en 2007, pero algunos de los sistemas tecnológicos que ejecutan el negocio de procesamiento de pagos y facturación médica de la compañía datan de hace 40 años, dijo Whitty.
Antes del ataque, UnitedHealth, que adquirió Change a finales de 2022 por 13.000 millones de dólares, estaba experimentando amplias mejoras y modernización de la tecnología de Change.
“El ataque en sí tuvo el efecto de bloquear varios sistemas de respaldo que se habían desarrollado en Change antes de la adquisición, que es la verdadera razón por la que tomó tanto tiempo recuperarse”, dijo Whitty.
Antes del ataque, la mayoría de los datos de Change se almacenaban localmente en centros de datos. “A medida que reconstruimos nuestro panorama tecnológico, creemos que habrá un cambio significativo hacia la nube, creando un entorno más seguro en el futuro”, dijo Whitty.
2. Las credenciales robadas desbloquean el acceso
Whitty dijo que el atacante utilizó las credenciales robadas para acceder al servidor de acceso remoto de Change el 12 de febrero.
La empresa tiene una confianza relativamente alta en que las credenciales fueron robadas y vendidas en la web oscura antes de que ocurriera el ataque.
La falta de credenciales legítimas y MFA permitió a los atacantes moverse lateralmente dentro de los sistemas de Change, robar datos, cifrarlos e implementar ransomware el 21 de febrero.
3. Envío de la unidad de respuesta a incidentes
UnitedHealth contrató al menos siete empresas de respuesta a incidentes y expertos externos en ciberseguridad para ayudar a responder y recuperarse del ataque. Algunos de estos contratos iniciados después de los ataques continúan hoy.
Whitty señaló específicamente el apoyo que recibió de Mandiant, Palo Alto Networks y Bishop Fox, pero agregó en un testimonio escrito que Google, Microsoft, Cisco y Amazon también estaban en el lugar para ayudar con los esfuerzos de recuperación, asesoramiento y pruebas.
UnitedHealth ha pedido a Mandiant que se una a su junta directiva como asesor permanente para fortalecer la supervisión y estrategia de ciberseguridad de la empresa.
“Han sido de gran ayuda para comprender este ataque y, como asesores de la junta, están trabajando arduamente para garantizar que obtengamos el mejor asesoramiento de la cima de la empresa”, dijo Whitty. “Tenemos el mejor asesoramiento en ciberseguridad”.
4. Barreras a la respuesta y la recuperación
Cuando UnitedHealth se dio cuenta del ataque de ransomware, inmediatamente desconectó Change de todos los demás sistemas.
Esta rápida respuesta fue fundamental para evitar que el ransomware se propagara e infectara a otros proveedores y redes en el país, y funcionó, dijo Witty. “Contuvimos el área de la explosión simplemente para cambiar y cerrar todo”.
“Este es un negocio de software y redes, no un negocio de oleoductos en el sentido físico”, afirmó Witty. “Cuando se ataca, la vulnerabilidad compromete o cifra el software y congela todo el sistema. Por eso este caso tuvo un impacto tan devastador”.
La tecnología heredada de Change también significó que los entornos de TI primario y de respaldo no estaban separados, lo que significa que ambos sistemas se vieron directamente afectados por el ataque. Aunque los elementos de TI en la nube volvieron a estar en línea rápidamente, los sistemas en el antiguo centro de datos estaban cargados con capas de tecnología obsoleta, dijo Whitty.
Whitty dijo que el esfuerzo de recuperación tomó más tiempo de lo esperado porque UnitedHealth tuvo que reconstruir la plataforma Change desde cero. Esto incluye tecnologías modernas, a menudo basadas en la nube, con características de seguridad mucho mayores que las que existían antes del ataque.
5. La autenticación multifactor no estaba habilitada
Varios miembros del Congreso interrogaron a Whitty y lo criticaron por los puntos de acceso remoto no seguros que AlphV utilizó para infiltrarse en los sistemas de Change Healthcare.
La política de la empresa es habilitar MFA en todos los sistemas externos, pero por razones que se están investigando, MFA no está habilitado en el portal Change Healthcare Citrix utilizado para el acceso a escritorio remoto.
“Fue a través de este servidor que los ciberdelincuentes pudieron infiltrarse en Change”, dijo Witty.
“Estamos en el proceso de investigar por qué ese servidor no estaba protegido con MFA. Estoy tan indignado como cualquiera por ese hecho, y entiendo exactamente por qué no estaba protegido en ese momento”. “, dijo Whitty.
“A partir de hoy, podemos confirmar que la autenticación multifactor está habilitada para todos los sistemas externos en UHG”, dijo.
Fuente: https://www.cybersecuritydive.com/news/unitedhealth-change-attack-tech-takeaways/715200/