كيف وقع هجوم برنامج الفدية على Change Healthcare: جدول زمني
من المحتمل أن يكون هجوم برنامج الفدية في وقت سابق من هذا العام على شركة التكنولوجيا الصحية Change Healthcare المملوكة لشركة UnitedHealth، أحد أكبر خروقات البيانات للبيانات الصحية والطبية الأمريكية في التاريخ.
بعد أشهر من اختراق البيانات في فبراير، تلقت “نسبة كبيرة من الأشخاص الذين يعيشون في أمريكا” إشعارًا عبر البريد بأن معلوماتهم الشخصية والصحية قد سُرقت من قبل مجرمي الإنترنت أثناء الهجوم الإلكتروني على Change Healthcare.
تقوم شركة Change Healthcare بمعالجة الفواتير والتأمين لمئات الآلاف من المستشفيات والصيدليات والممارسات الطبية عبر قطاع الرعاية الصحية في الولايات المتحدة. وعلى هذا النحو، فهو يجمع ويخزن كميات هائلة من البيانات الطبية الحساسة للغاية عن المرضى في الولايات المتحدة. ومن خلال سلسلة من عمليات الدمج والاستحواذ، أصبحت شركة Change واحدة من أكبر معالجات البيانات الصحية في الولايات المتحدة، حيث تعاملت مع ما يتراوح بين ثلث ونصف جميع المعاملات الصحية في الولايات المتحدة.
إليك ما حدث منذ بدء هجوم برنامج الفدية.
21 فبراير 2024
التقرير الأول عن انقطاع التيار الكهربائي مع ظهور حادث أمني
بدا الأمر وكأنه عصر يوم أربعاء عادي، إلى أن لم يكن كذلك. وكان الانقطاع مفاجئا. في 21 فبراير، توقفت أنظمة الفوترة في مكاتب الأطباء وممارسات الرعاية الصحية عن العمل، وتوقفت معالجة مطالبات التأمين. امتلأت صفحة الحالة على موقع Change Healthcare الإلكتروني بإشعارات انقطاع الخدمة التي أثرت على كل جزء من أعمالها، وفي وقت لاحق من ذلك اليوم أكدت الشركة أنها “تواجه انقطاعًا في الشبكة يتعلق بمشكلة تتعلق بالأمن السيبراني”. من الواضح أن شيئًا ما قد حدث بشكل خاطئ للغاية.
اتضح أن شركة Change Healthcare قامت باستدعاء بروتوكولات الأمان الخاصة بها وأغلقت شبكتها بالكامل لعزل المتسللين الذين عثرت عليهم في أنظمتها. ويعني ذلك انقطاعًا مفاجئًا وواسع النطاق في قطاع الرعاية الصحية الذي يعتمد على عدد قليل من الشركات – مثل Change Healthcare – للتعامل مع تأمين الرعاية الصحية ومطالبات الفواتير لمساحات واسعة من الولايات المتحدة. وتبين لاحقًا أن المتسللين اخترقوا أنظمة الشركة في البداية قبل أكثر من أسبوع، في 12 فبراير أو حوالي ذلك التاريخ.
29 فبراير 2024
تؤكد شركة UnitedHealth أنها تعرضت لهجوم من عصابة برامج الفدية
بعد أن نسبت شركة UnitedHealth في البداية (وبشكل غير صحيح) الاختراق إلى قراصنة يعملون لصالح حكومة أو دولة قومية، قالت لاحقًا في 29 فبراير إن الهجوم السيبراني كان في الواقع من عمل عصابة برامج الفدية. وقالت شركة UnitedHealth إن العصابة “قدمت نفسها لنا على أنها ALPHV/BlackCat”، حسبما صرح متحدث باسم الشركة لـ TechCrunch في ذلك الوقت. كما تبنى موقع تسرب على شبكة الإنترنت المظلمة المرتبط بعصابة ALPHV/BlackCat الهجوم، مدعيًا أنه سرق ملايين المعلومات الحساسة المتعلقة بالصحة والمرضى من الأمريكيين، مما يعطي أول إشارة إلى عدد الأفراد الذين تأثروا بهذا الحادث.
ALPHV (المعروفة أيضًا باسم BlackCat) هي عصابة معروفة من برامج الفدية كخدمة ناطقة بالروسية. تقوم الشركات التابعة لها – المتعاقدون الذين يعملون لصالح العصابة – باقتحام شبكات الضحايا ونشر البرمجيات الخبيثة التي طورها قادة ALPHV/BlackCat، الذين يأخذون جزءًا من الأرباح التي تم جمعها من الفديات التي تم جمعها من الضحايا لاستعادة ملفاتهم.
إن معرفة أن الاختراق كان بسبب عصابة برامج فدية قد غيّر معادلة الهجوم من نوع القرصنة التي تقوم بها الحكومات – أحيانًا لإرسال رسالة إلى حكومة أخرى بدلاً من نشر المعلومات الخاصة لملايين الأشخاص – إلى الاختراق الذي يسببه مجرمون إلكترونيون ذوو دوافع مالية. ، الذين من المحتمل أن يستخدموا قواعد لعب مختلفة تمامًا للحصول على يوم الدفع.
3-5 مارس 2024
تدفع شركة UnitedHealth فدية قدرها 22 مليون دولار للقراصنة الذين يختفون بعد ذلك
وفي أوائل شهر مارس، اختفت عصابة برامج الفدية ALPHV. تم استبدال موقع التسريب الخاص بالعصابة على شبكة الإنترنت المظلمة، والذي تولى المسؤولية عن الهجوم السيبراني قبل أسابيع، بإشعار مصادرة يدعي أن سلطات إنفاذ القانون في المملكة المتحدة والولايات المتحدة أزالت موقع العصابة. لكن مكتب التحقيقات الفيدرالي وسلطات المملكة المتحدة نفيا القضاء على عصابة برامج الفدية كما حاولوا قبل أشهر. أشارت جميع الدلائل إلى هروب ALPHV بالفدية وسحب “عملية احتيال خروج”.
في منشور، زعمت الشركة التابعة لـ ALPHV التي نفذت الاختراق على Change Healthcare أن قيادة ALPHV سرقت 22 مليون دولار تم دفعها كفدية وتضمنت رابطًا لمعاملة بيتكوين واحدة في 3 مارس كدليل على ادعائها. ولكن على الرغم من خسارة حصتها من دفع الفدية، قالت الشركة التابعة إن البيانات المسروقة “لا تزال معنا”. دفعت شركة UnitedHealth فدية للمتسللين الذين تركوا البيانات وراءهم واختفوا.
13 مارس 2024
اضطراب واسع النطاق في جميع أنحاء الرعاية الصحية في الولايات المتحدة وسط مخاوف من اختراق البيانات
وفي الوقت نفسه، بعد مرور أسابيع على الهجوم السيبراني، كان انقطاع الخدمة لا يزال مستمرًا، حيث لم يتمكن الكثيرون من الحصول على وصفاتهم الطبية أو اضطروا إلى الدفع نقدًا من جيوبهم. وقالت شركة التأمين الصحي العسكري TriCare إن “جميع الصيدليات العسكرية في جميع أنحاء العالم” تأثرت أيضًا.
كانت الجمعية الطبية الأمريكية تقول إن هناك القليل من المعلومات من UnitedHealth وChange Healthcare حول الانقطاعات المستمرة، مما تسبب في اضطراب هائل استمر في الانتشار عبر قطاع الرعاية الصحية.
بحلول 13 مارس، تلقت منظمة Change Healthcare نسخة “آمنة” من البيانات المسروقة والتي كانت قد دفعت مقابلها قبل أيام فقط 22 مليون دولار. سمح ذلك لـ Change ببدء عملية البحث في مجموعة البيانات لتحديد المعلومات التي تمت سرقتها في الهجوم الإلكتروني، بهدف إخطار أكبر عدد ممكن من الأفراد المتضررين.
28 مارس 2024
الحكومة الأمريكية ترفع المكافأة إلى 10 ملايين دولار لمن يدلي بمعلومات تؤدي إلى القبض على ALPHV
وبحلول أواخر مارس/آذار، قالت الحكومة الأمريكية إنها ستزيد من مكافآتها للحصول على معلومات عن القيادة الرئيسية لـ ALPHV/BlackCat والشركات التابعة لها.
ومن خلال تقديم مبلغ 10 ملايين دولار لأي شخص يستطيع التعرف على الأفراد الذين يقفون وراء العصابة أو تحديد مكانهم، يبدو أن حكومة الولايات المتحدة تأمل أن ينقلب أحد المطلعين على بواطن العصابة على قادتهم السابقين. ويمكن أيضًا أن يُنظر إليه على أنه إدراك الولايات المتحدة للتهديد المتمثل في احتمال نشر عدد كبير من المعلومات الصحية للأمريكيين عبر الإنترنت.
15 أبريل 2024
المقاول يشكل عصابة فدية جديدة وينشر بعض البيانات الصحية المسروقة
ثم كان هناك نوعان من الفدية، أي. بحلول منتصف أبريل، أنشأت الشركة التابعة المظلومة مضرب ابتزاز جديد يسمى RansomHub، وبما أنها لا تزال تمتلك البيانات التي سرقتها من Change Healthcare، فقد طلبت فدية ثانية من UnitedHealth. ومن خلال القيام بذلك، نشرت RansomHub جزءًا من الملفات المسروقة التي تحتوي على ما يبدو أنها سجلات خاصة وحساسة للمرضى كدليل على تهديدهم.
لا تقوم عصابات برامج الفدية بتشفير الملفات فحسب؛ كما أنهم يسرقون أكبر قدر ممكن من البيانات ويهددون بنشر الملفات إذا لم يتم دفع الفدية. ويُعرف هذا باسم “الابتزاز المزدوج”. في بعض الحالات، عندما يدفع الضحية، يمكن لعصابة برامج الفدية ابتزاز الضحية مرة أخرى – أو، في حالات أخرى، ابتزاز عملاء الضحية، وهو ما يُعرف باسم “الابتزاز الثلاثي”.
والآن بعد أن أصبحت شركة UnitedHealth على استعداد لدفع فدية واحدة، هناك خطر تعرض شركة الرعاية الصحية العملاقة للابتزاز مرة أخرى. ولهذا السبب دعت جهات إنفاذ القانون منذ فترة طويلة إلى عدم دفع فدية تسمح للمجرمين بالاستفادة من الهجمات الإلكترونية.
22 أبريل 2024
تقول شركة UnitedHealth إن قراصنة برامج الفدية سرقوا بيانات صحية عن “نسبة كبيرة من الأشخاص في أمريكا”
للمرة الأولى، أكدت شركة UnitedHealth في 22 أبريل – بعد أكثر من شهرين من بدء هجوم برامج الفدية – أن هناك خرقًا للبيانات وأنه من المحتمل أن يؤثر على “نسبة كبيرة من الأشخاص في أمريكا”، دون تحديد عدد الملايين من الأشخاص الذين تعرضوا لذلك. يستلزم. وأكدت شركة UnitedHealth أيضًا أنها دفعت فدية مقابل البيانات، لكنها لم تذكر عدد الفدية التي دفعتها في النهاية.
وقالت الشركة إن البيانات المسروقة تتضمن معلومات حساسة للغاية، بما في ذلك السجلات الطبية والمعلومات الصحية والتشخيصات والأدوية ونتائج الاختبارات والتصوير وخطط الرعاية والعلاج وغيرها من المعلومات الشخصية.
ونظرًا لأن شركة Change Healthcare تتعامل مع بيانات حوالي ثلث جميع الأشخاص الذين يعيشون في الولايات المتحدة، فمن المرجح أن يؤثر خرق البيانات على أكثر من 100 مليون شخص على الأقل. عندما تواصلت TechCrunch مع المتحدث باسم UnitedHealth، لم يشكك في العدد المتأثر المحتمل، لكنه قال إن مراجعة بيانات الشركة مستمرة.
1 مايو 2024
شهد الرئيس التنفيذي لمجموعة UnitedHealth Group أن التغيير لم يكن يستخدم الأمن السيبراني الأساسي
ربما ليس من المستغرب أنه عندما تتعرض شركتك لواحدة من أكبر عمليات اختراق البيانات في التاريخ الحديث، فمن المحتم أن يتم استدعاء رئيسها التنفيذي للإدلاء بشهادته أمام المشرعين.
هذا ما حدث مع الرئيس التنفيذي لشركة UnitedHealth Group (UHG)، أندرو ويتي، الذي اعترف في الكابيتول هيل بأن المتسللين اقتحموا أنظمة Change Healthcare باستخدام كلمة مرور واحدة محددة على حساب مستخدم غير محمي بمصادقة متعددة العوامل، وهي ميزة أمان أساسية يمكنها منع هجمات إعادة استخدام كلمة المرور عن طريق طلب رمز ثانٍ يتم إرساله إلى هاتف صاحب الحساب هذا.
كانت الرسالة الرئيسية هي أن إحدى أكبر خروقات البيانات في تاريخ الولايات المتحدة كان من الممكن منعها تمامًا. وقال ويتي إن خرق البيانات من المرجح أن يؤثر على حوالي ثلث الأشخاص الذين يعيشون في أمريكا – بما يتماشى مع التقديرات السابقة للشركة بأن الاختراق يؤثر على عدد مماثل من الأشخاص الذين تقوم منظمة Change Healthcare بمعالجة مطالبات الرعاية الصحية لهم.
20 يونيو 2024
تبدأ UHG في إخطار المستشفيات ومقدمي الخدمات الطبية المتأثرين بالبيانات المسروقة
استغرق الأمر من منظمة Change Healthcare حتى 20 يونيو لبدء إخطار الأفراد المتضررين رسميًا بسرقة معلوماتهم، كما هو مطلوب قانونًا بموجب القانون المعروف باسم HIPAA، والذي من المحتمل أن يتأخر جزئيًا بسبب الحجم الهائل لمجموعة البيانات المسروقة.
ونشرت الشركة إشعارًا يكشف عن خرق البيانات وقالت إنها ستبدأ في إخطار الأفراد الذين حددتهم في النسخة “الآمنة” من البيانات المسروقة. لكن منظمة Change قالت إنها “لا تستطيع أن تؤكد بالضبط” ما هي البيانات المسروقة عن كل فرد وأن المعلومات قد تختلف من شخص لآخر. يقول التغيير إنه كان ينشر الإشعار على موقعه على الإنترنت، لأنه “قد لا يكون لديه عناوين كافية لجميع الأفراد المتضررين”.
كان الحادث كبيرًا ومعقدًا لدرجة أن وزارة الصحة والخدمات الإنسانية الأمريكية تدخلت وقالت إن مقدمي الرعاية الصحية المتأثرين، الذين يتأثر مرضاهم في النهاية بالانتهاك، يمكنهم أن يطلبوا من UnitedHealth إخطار المرضى المتضررين نيابة عنهم، وهو جهد يُنظر إليه على أنه تقليل العبء على مقدمي الخدمات الصغار الذين تضررت مواردهم المالية وسط الانقطاع المستمر.
29 يوليو 2024
تبدأ شركة Change Healthcare في إخطار الأفراد المتأثرين المعروفين عبر خطاب
أكدت شركة التكنولوجيا الصحية العملاقة في أواخر يونيو أنها ستبدأ في إخطار أولئك الذين سُرقت بيانات الرعاية الصحية الخاصة بهم في هجوم برامج الفدية على أساس متجدد. وبدأت هذه العملية في أواخر يوليو/تموز.
من المرجح أن تأتي الرسائل الموجهة إلى الأفراد المتأثرين من Change Healthcare، إن لم يكن من مقدم الرعاية الصحية المحدد المتأثر بالاختراق في Change. وتؤكد الرسالة أنواع البيانات المسروقة، بما في ذلك البيانات الطبية ومعلومات التأمين الصحي، والمطالبات ومعلومات الدفع، والتي قال تشينج إنها تتضمن معلومات مالية ومصرفية.
