Change Healthcare, filial de UnitedHealth, pagó 22 millones de dólares en rescate a los atacantes que violaron sus sistemas en febrero, según un testimonio presentado hoy ante el Congreso. No está claro si el pago del rescate impidió que los datos se utilizaran en ataques posteriores, pero sí revela que el alcance de la violación puede ser mayor de lo que nadie imaginaba.
Andrew Whitty, director ejecutivo de UnitedHealth, la aseguradora de salud más grande del país, testificó hoy ante el Comité de Energía y Comercio de la Cámara de Representantes de los Estados Unidos después de semanas de agitación en la compañía de atención médica más grande del país. Ha salido a la luz un hecho preocupante.
Seguridad insuficiente: robo de credenciales, no MFA
Por ejemplo, los piratas informáticos del ransomware BlackCat/ALPHV que violaron Change en febrero no tuvieron que esforzarse mucho para tener éxito. Según el testimonio, pudieron iniciar sesión en la plataforma Citrix de Change utilizando credenciales previamente comprometidas, probablemente obtenidas a través de un intermediario de acceso inicial. Además, la cuenta no estaba protegida con autenticación multifactor (MFA).
Además, aunque este ataque se descubrió el 23 de febrero cuando BlackCat implementó ransomware, los atacantes en realidad tenían acceso ilimitado al entorno durante más de una semana antes, y los analistas de seguridad dicen que faltan equipos de detección de intrusiones.
“El 12 de febrero, los delincuentes utilizaron credenciales comprometidas para acceder de forma remota al portal Change Healthcare Citrix, una aplicación que permite el acceso remoto a los escritorios”, decía un comunicado publicado antes de la audiencia: “El portal no tenía autenticación multifactor. Una vez que los atacantes obtuvieron acceso, utilizaron métodos más sofisticados para moverse lateralmente dentro del sistema y filtrar datos. El ransomware se implementó nueve días después.
En su testimonio oral, el Sr. Whitty afirmó que las credenciales de Citrix no han cambiado (la mejor práctica es buscar y rastrear las credenciales comprometidas que pueden haber sido parte de una violación anterior) y que la MFA además de la falta de seguridad, también Descubrió detalles adicionales que indican un bajo nivel general de madurez de seguridad. Por ejemplo, la empresa tuvo que reconstruir completamente sus sistemas incluso después de descifrar los archivos. Además, debido a que las copias de seguridad no estaban aisladas por segmentación de la red o brechas de infraestructura, el atacante también podría bloquear las copias de seguridad y bloquear la ruta de recuperación del ataque inicial.
“Este ataque demuestra la importancia de los controles para verificar periódicamente los privilegios de acceso. Independientemente de si las credenciales están comprometidas, un atacante puede aprovechar una cuenta con privilegios de acceso para poder llevar a cabo el ataque”, dijo el director ejecutivo de Pathlock, Piyush Pandey, en un correo electrónico. “En este caso, MFA podría haber sido una puerta eficaz para evitar la propagación de este ataque. Al agregar una capa de seguridad, se vuelve más difícil penetrar…, este es un gran ejemplo de la importancia de las tecnologías y procesos en capas. como MFA, donde fuertes controles de acceso a las aplicaciones combinados con tecnologías de seguridad de datos como el enmascaramiento de datos pueden ayudar a mitigar las violaciones de datos generalizadas”.
Se desconoce el impacto de la información personal (PII) y la información médica (PHI) en la seguridad de los datos.
Además, en su testimonio oral de hoy, el Sr. Whitty reconoció que sus adversarios eliminaron grandes cantidades de información de identificación personal (PII) e información de salud personal (PHI). Whitty no dio cifras específicas, pero dijo que los datos en cuestión “pueden cubrir un porcentaje significativo de la población estadounidense”. No dijo si los datos todavía estaban en riesgo.
Para entender este comentario, el senador Ron Wyden (D-Ore.) dijo en una declaración antes de la audiencia: “Change Healthcare procesa aproximadamente 15 mil millones de transacciones médicas anualmente y es responsable de la pérdida de acceso a los registros de pacientes estadounidenses. Uno de cada tres personas cruzan las puertas digitales de la empresa.”
“Change se especializa en transferir datos de pacientes de un consultorio médico a otro o con compañías de seguros”, dijo el senador. “Está repleto de diagnósticos, tratamientos e historiales médicos sensibles que revelan de todo, desde infecciones hasta enfermedades de transmisión sexual. El personal militar está también incluido en estos datos.”
Wyden también advirtió que la violación podría representar una clara amenaza a la seguridad nacional.
“No creo que sea una exageración. [that] El impacto de este incidente es comparable al hackeo de datos de empleados gubernamentales en 2015 por parte de la Oficina Federal de Gestión de Personal. El FBI lo ha llamado un ‘depósito’ de información de contrainteligencia para agencias de inteligencia extranjeras”, dijo.
Se desconocen los próximos pasos para UnitedHealth
UnitedHealth es la compañía de seguros más grande de Estados Unidos y la quinta compañía más grande de Estados Unidos, con 324 mil millones de dólares en ingresos y datos personales de 152 millones de personas. Esta infracción es posiblemente el incidente cibernético más grande que jamás haya afectado a la industria de la salud.
Por ahora, el futuro de Change y UnitedHealth no está claro. Wyden señaló que incluso si las empresas fueran declaradas responsables de una violación de datos confidenciales, sólo enfrentarían “sanciones leves” según las regulaciones actuales.
Las empresas tampoco han proporcionado detalles sobre cómo o cuándo planean mejorar sus defensas cibernéticas (Wyden señaló que la junta directiva de UnitedHealth no tiene un director de seguridad cibernética; (este sería un paso fácil de implementar).
Mientras tanto, este es un evento en curso. En las semanas transcurridas desde que se hizo pública la violación, la compañía ha visto actividad imitadora por parte de la organización cibercriminal RansomHub, y el incidente causó estragos en toda la cadena de suministro médico, lo que llevó al Departamento de Salud y Servicios Humanos a abordar los riesgos cibernéticos de las aseguradoras. con un plan de juego de políticas para garantizar que las organizaciones de atención médica cumplan con estándares mínimos de ciberseguridad (aunque todavía no exigen que las organizaciones de atención médica cumplan con estándares mínimos de ciberseguridad).
Casi no hay duda de que habrá más novedades en esta historia en el futuro.
UnitedHealth aún no ha respondido a la solicitud de comentarios de Dark Reading.
Fuente: https://www.darkreading.com/cyberattacks-data-breaches/unitedhealth-congressional-testimony-rampant-security-fails
