Change Healthcare confirmó el jueves que el grupo de ransomware Blackcat está detrás del actual ataque de ciberseguridad que ha causado interrupciones generalizadas en farmacias y sistemas de salud en todo Estados Unidos.
“Nuestros expertos están trabajando para abordar el asunto y estamos trabajando estrechamente con las autoridades y consultores externos líderes”, dijo Change Healthcare a CNBC en un comunicado el jueves. “Estamos trabajando activamente para comprender el impacto para los miembros, pacientes y clientes”.
La compañía dijo que está trabajando con Mandiant, que es propiedad de Googley proveedor de software de ciberseguridad Redes de Palo Alto.
En una publicación eliminada desde entonces en la web oscura, Blackcat dijo el miércoles que estaba detrás del ataque a los sistemas de Change Healthcare. El grupo dijo que logró extraer seis terabytes de datos, incluida información como registros médicos, registros de seguros e información de pagos.
La empresa matriz de Change, Grupo UnitedHealth, dijo que descubrió que un actor de amenazas cibernéticas violó parte de la red de tecnología de la información de la unidad el 21 de febrero, según un documento presentado ante la Comisión de Bolsa y Valores. UnitedHealth aisló y desconectó los sistemas afectados “inmediatamente después de la detección” de la amenaza, según el documento, pero no reveló la naturaleza del ataque ni exactamente cuándo tuvo lugar.
Blackcat, también llamado Noberus y ALPHV, roba datos confidenciales de instituciones y amenaza con publicarlos a menos que se pague un rescate, según un comunicado de diciembre del Departamento de Justicia de Estados Unidos. Blackcat ha comprometido redes informáticas en Estados Unidos y el mundo, lo que ha supuesto pérdidas por cientos de millones de dólares, según el comunicado.
Change Healthcare ofrece herramientas para la gestión del ciclo de pagos e ingresos que ayudan a facilitar transacciones como pagos de reembolso. En 2022, se fusionó con el proveedor de atención médica Optum, que atiende a más de 100 millones de pacientes en EE. UU. y es propiedad de UnitedHealth, la mayor empresa de atención médica del país por capitalización de mercado.
Brett Callow, analista de amenazas de la empresa de ciberseguridad Emsisoft, dijo que los grupos de ransomware a menudo hacen publicaciones como estas en un esfuerzo por llevar a las víctimas a la mesa de negociaciones. Callow, que se especializa en ransomware, compartió una captura de pantalla de la publicación eliminada de Blackcat en el sitio de redes sociales X el miércoles.
Dijo que los grupos de ransomware a menudo exageran la cantidad de datos que han robado, por lo que las afirmaciones de Blackcat deberían tratarse con escepticismo. Una organización puede tardar semanas en determinar exactamente qué información fue robada, añadió, y los grupos de ransomware a menudo aprovechan el período de incertidumbre.
“Los ciberdelincuentes no van a decir la verdad”, dijo Callow a CNBC en una entrevista.
UnitedHealth dijo en su presentación ante la SEC que sospechaba que un actor asociado con un estado-nación estaba detrás del ataque, pero Callow dijo que Blackcat es una operación de cibercrimen con fines de lucro. Calificó la discrepancia como “peculiar”, pero dijo que podría haber más en la brecha que desconoce.
Los ataques de ransomware pueden ser particularmente peligrosos dentro del sector de la atención médica, ya que pueden causar un daño inmediato a la seguridad física de los pacientes, dijo John Riggi, asesor nacional de ciberseguridad y riesgos de la Asociación Estadounidense de Hospitales.
Cuando los sistemas se apagan, las tecnologías de diagnóstico como los escáneres de tomografía computarizada pueden quedar fuera de línea y las ambulancias que transportan pacientes a menudo se desvían, lo que puede retrasar la atención que salva vidas, dijo.
“Cambie, son una víctima”, dijo Riggi a CNBC. “En última instancia, sin embargo, esto no fue un ataque sólo contra ellos, sino contra todo el sector de la salud”.
Los sistemas de Change Healthcare han estado inactivos durante nueve días consecutivos y no está claro cuándo volverán a estar en línea.
No te pierdas estas historias de CNBC PRO:
MIRAR: Las empresas deben comprender que el riesgo cibernético es un riesgo empresarial
