United Health Group: Cronología del ciberataque


El ciberataque masivo que afectó a Change Healthcare el 21 de febrero de 2024 afectó a cientos de farmacias y centros de atención a pacientes en todo el mundo y aparentemente fue perpetrado por la famosa banda de ransomware ALPHV/BlackCat. Change Healthcare es parte del negocio de atención médica Optum de la aseguradora UnitedHealth Group. En 2022, Change Healthcare se fusionó con Optum.

Change Healthcare brinda servicios de procesamiento de recetas a través de Optum, que brinda servicios técnicos a más de 67,000 farmacias y brinda atención médica a más de 100 millones de clientes minoristas. Change Healthcare procesa el 50% de las reclamaciones médicas de EE. UU.

Optum enumera más de 100 servicios de Change Healthcare afectados por la infracción. Según la Asociación de Gestión Financiera de Atención Médica, también se interrumpieron funciones críticas como la verificación de beneficios, la presentación de reclamaciones y actualizaciones de estado, el envío de información de remesas y la autorización previa.

Cronograma del evento

MSSP Alert ha estado rastreando este incidente desde su inicio y continuará brindando actualizaciones a medida que surjan nuevos desarrollos. A continuación se muestra un cronograma completo y actualizado de eventos.

mayo 2024

3 de mayo: se descubrió que un ciberatacante utilizó credenciales robadas para acceder a una herramienta de acceso remoto que no tenía habilitada la autenticación multifactor (MFA) y violó la red de UnitedHealth. La noticia fue revelada a través de un testimonio escrito proporcionado por el director ejecutivo de UnitedHealth Group, Andrew Whitty, ante el Comité de Energía y Comercio de la Cámara de Representantes de los Estados Unidos. El grupo de ransomware AlphV/BlackCat se apoderó de los sistemas de Change Healthcare y exigió un rescate a cambio de desbloquearlos, según una copia del testimonio preparado por Whitty.

abril 2024

25 de abril: UnitedHealth Group confirma que pagó el rescate exigido por los piratas informáticos que atacaron su división de seguros Change Healthcare en febrero. El monto del rescate fue de 22 millones de dólares en Bitcoin. En un testimonio posterior, el Sr. Whitty reivindicó toda la responsabilidad por la decisión de pagar el rescate.

La compañía también reconoció que la violación resultó en el robo de archivos que contenían información personal, lo que provocó interrupciones financieras y operativas para cientos de instalaciones médicas, médicos y farmacias.

UnitedHealth dijo en un comunicado que descubrió archivos que contienen información de identificación personal (PII) o información de salud protegida (PHI) “de un número significativo de personas en los Estados Unidos”.

22 de abril: United Health Group anunció que un ataque de ransomware a su división Change Healthcare le costó a la empresa 872 millones de dólares en el primer trimestre de 2024. Esta es la primera vez que la empresa hace una declaración pública sobre el impacto real del ciberataque. UnitedHealth estima que el impacto del ataque será de entre 1.350 millones y 1.600 millones de dólares a lo largo de 2024. La cámara de compensación dice que ha proporcionado aproximadamente 6 mil millones de dólares en fondos por adelantado y préstamos a proveedores de atención médica afectados por ataques de ransomware. La empresa aún no se ha recuperado completamente del ciberataque, dijeron los funcionarios.

marzo 2024

27 de marzo: Un nuevo proyecto de ley propuesto por el senador Mark Warner (D-Va.) requeriría que las organizaciones de atención médica cumplan con estándares mínimos de ciberseguridad. Este proyecto de ley impone una serie de requisitos para la protección de datos y las operaciones comerciales de las organizaciones sanitarias. Este proyecto de ley se promulgó en respuesta a al menos seis demandas colectivas presentadas contra Change Healthcare y su empresa matriz, UnitedHealth Group, a partir del 20 de marzo de 2024.

13 de marzo: UnitedHealth Group anunció el 13 de marzo que su red de farmacias Change Healthcare vuelve a estar en línea. (Fuente: Reuters)

7 de marzo: el sistema de recetas electrónicas de Change ahora está completamente habilitado para facturación y pagos. UnitedHealth suspende la autorización previa de MA y D-SNP para servicios ambulatorios hasta el 31 de marzo.

6 de marzo: UnitedHealth enfrenta cinco demandas federales relacionadas con el ataque. (Fuente: Healthleadersmedia.com)

4 de marzo: La Asociación Estadounidense de Hospitales (AHA) dice que el programa de financiación Change es inadecuado. Algunas organizaciones sanitarias están perdiendo más de 100 millones de dólares al día. (Fuente: Healthleadersmedia.com)

3 de marzo: Reuters informa que Black Cat recibió 22 millones de dólares en Bitcoin.

1 de marzo: UnitedHealth Group informó que piratas informáticos que se hacían llamar Black Cat Ransomware Group llevaron a cabo un ciberataque a su división de tecnología, Change Healthcare. La compañía dijo que sus expertos están trabajando con las autoridades y consultores externos para evaluar el impacto en los clientes y pacientes. (Fuente: Reuters)

Mientras tanto, Optum introdujo un programa de asistencia financiera temporal para proveedores de atención médica y Change también introdujo un sistema alternativo para farmacias. (Fuente: Healthleadersmedia.com)

febrero 2024

29 de febrero: Los proveedores de atención médica en los EE. UU. están luchando para recibir pagos después de una interrupción del ransomware de una semana en UnitedHealth Group, y algunos proveedores más pequeños ya se están quedando sin efectivo. Según la AHA, las grandes cadenas de hospitales tampoco pueden procesar los pagos y algunos hospitales están incurriendo en costos iniciales debido a la imposibilidad de realizar los pagos. (Fuente: Reuters)

28 de febrero: SC Magazine, un medio de comunicación de CyberRisk Alliance y publicación afiliada a MSSP Alert, informa que el incidente de ciberseguridad en Change Healthcare de UnitedHealth que provocó ralentizaciones en las farmacias aprovechó una vulnerabilidad en ConnectWise ScreenConnect. El informe decía que fue causado por “un tipo de malware LockBit”. “Eso estaba acostumbrado a

“No podemos confirmar un vínculo directo entre la vulnerabilidad de ScreenConnect y el incidente informado por Change Healthcare”, dijo ConnectWise en un comunicado a MSSP Alert. La investigación inicial de la compañía indica que Change Healthcare no es un cliente directo de ConnectWise, y la compañía dice que no ha recibido ningún informe de sus socios proveedores de servicios administrados (MSP) de que Change Healthcare sea un cliente.

27 de febrero: En una actualización de estado publicada por última vez en su sitio web el 27 de febrero, Optum dice que está “trabajando con múltiples enfoques” para restaurar los sistemas, y agrega: “A medida que volvamos a poner los sistemas en línea, “no vamos a tomar tomar atajos ni tomar riesgos adicionales”.

26 de febrero: el grupo de ransomware BlackCat se atribuye la responsabilidad del ataque. (Fuente: Healthleadersmedia.com)

22 de febrero: AHA emite un aviso de ciberseguridad advirtiendo sobre el impacto del ataque en los servicios de Optum.

21 de febrero: Optum, que se fusionó con Change Healthcare en 2022, informa una violación importante de sus sistemas de TI, lo que afecta gravemente su capacidad para dispensar recetas. Optum enumera más de 100 servicios de Change Healthcare afectados por la infracción. También se interrumpieron funciones críticas como la verificación de beneficios, la presentación de reclamaciones y actualizaciones de estado, la presentación de información de remesas y la aprobación previa. UnitedHealthcare dijo en una presentación regulatoria 8-K del 21 de febrero que “sospecha” que un actor de amenaza de un estado-nación estaba detrás de la acción, pero no proporcionó más detalles.



Fuente: https://www.msspalert.com/news/change-healthcare-cyberattack-event-timeline