פרס בסך 10 מיליון דולר למידע על תוקפי Change Healthcare

משרד החוץ האמריקני הודיע כי הוא מציע פרס בסך של 10 מיליון דולרים תמורת מידע שיוביל לזיהוים או למיקומם של ההאקרים שביצעו את המתקפה "המשבשת ביותר" נגד Change Healthcare.

Change Healthcare היא ספקית של ניהול הכנסות ומחזורי תשלומים, המחברת בין תשלומים, ספקים ומטופלים במערכת הבריאות האמריקנית. היא מפעילה את מערך חילופי המידע הפיננסי והמינהלי הגדול בארה"ב במגזר הבריאות. ככזו, היא מטפלת מדי שנה בכ-15 מיליארד מרשמים ותעבורות כספיות בין גופים שונים בעולם הבריאות בארה"ב.

ב-21 בפברואר השנה החברה נפגעה ממתקפת סייבר, שמנעה יכולת להעביר תשלומים לרופאים על הפלטפורמה שלה. בשל המתקפה לא ניתן היה לטפל ולנהל תשלומים אלקטרוניים ותביעות רפואיות במרחב הבריאות בארה"ב, מה שהוביל לשיבושים תפעוליים בקרב ארגוני בריאות רבים, בארה"ב ומחוצה לה. כך, מטופלים נאלצו לשלם עבור רבות מהתרופות שלהם מכיסם במקום לקבלם בחינם או במחיר מופחת תמורת מרשם. ספקי שירותי בריאות רבים טענו שהם מפסידים הכנסות משמעותיות כתוצאה מההפרעה מדי יום, עד 100 מיליון דולר ליום, מצב שאיים על רבים מהם להפוך לחדלי פירעון. בחודש שחלף מאז הפריצה, קבוצת UnitedHealth, הבעלים של Change Healthcare, שאותה רכשה ב-2022, שילמה לספקים שנפגעו מהמתקפה יותר מ-3.3 מיליארד דולרים כדי לסייע להם להמשיך ולתפקד.

יממה לאחר המתקפה, הודיעה קבוצת UnitedHealth לרשות ליירות ערך, כי "שחקן חשוד הקשור לאיום אבטחת סייבר" הצליח להשיג גישה למערכת ה-IT של Change Healthcare. משם, במתכונת פריצה צד ג', המכונה מתקפת שרשרת אספקה, ההאקרים השיגו גישה לארגוני בריאות נוספים ולחברות ביטוח רפואי, בהם CVS Health, Walgreens, GoodRX, BlueCross, athenahealth ו-Publix. עוד נפרצו בתי מרקחת פרטיים ברחבי ארה"ב וכלל בתי מרקחת ובתי חולים של צבא ארה"ב בעולם.

כעבור שבוע, ב-29 בפברואר, אישרה החברה כי מתקפת הכופרה בוצעה על ידי שחקן איום בסייבר, "שהציג את עצמו בפני החברה כ-ALPHV/Blackcat". לצד עבודה עם סוכנויות אכיפת החוק, החברה שכרה את שירותי מנדיאנט (Mandiant) מבית גוגל ואת פאלו אלטו (Palo Alto Networks).

ההאקרים, מצידם, טענו כי גנבו 6 טרה-בייט של נתונים, "הנוגעים לכל לקוחות Change Health", וכי יש ברשותם "נתונים רגישים המעובדים על ידי החברה". חברי הקבוצה הכחישו דיווחים שפורסמו, שלפיהם הם ניצלו ועשו שימוש בפגיעויות של ConnectWise ScreenConnect כדי להשיג גישה ראשונית למערכות.

בתחילת מרץ נחשף ב-Wired, כי UnitedHealth שילמה להאקרים דמי כופר בסך 22 מיליון דולר במטבעות קריפטו. החברה לא הגיבה לדיווח. תשלום דמי הכופר, לפי KrebsonSecurity, הביא לסכסוך בין ההאקרים, כאשר חלקם טענו כי רימו אותם והם לא קיבלו את הנתח המגיע להם מדמי הכופר ששולמו.

במחצית מרץ הנהלת החברה זומנה לבית הלבן, שם ננזפה על הסכום הנמוך שהעניקה לספקים שנפגעו ונדרשה להגדיל את היקף הסיוע.

בהודעת משרד החוץ נמסר כי "קבוצת הכופרה-כשירות Alphv/BlackCat פרצה וסיכנה רשתות מחשבים של מגזרי תשתית קריטיים בארה"ב ובעולם. היא פרסה ותקפה בכופרה באופן ממוקד ארגונים, השביתה תכונות אבטחה ברשתות הקורבנות, גנבה מידע סודי רגיש, דרשה תשלום דמי כופר תמורת השבת המידע שהוצפן, ואיימה לפרסם את הנתונים הגנובים אם דמי הכופר לא ישולמו".

הפרס המוצע מגיע על רקע ביקורת פדרלית הולכת וגוברת על המתקפה על Change Healthcare. כך, CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, מתחה באחרונה ביקורת והביעה דאגה לגבי רמת השקיפות הנמוכה של  UnitedHealth בנוגע לתקרית הסייבר. גם ג'יימי רסקין, הסנטור הדמוקרטי ממדינת מרילנד, הפנה שאלות בנושא לחברה – בדיון של ועדת הסנאט לפיקוח ולאחריות.

בדצמבר האחרון ה-FBI וגופי אכיפה נוספים בארה"ב ומחוצה לה פעלו להשמדת תשתית ההפעלה של קבוצת הכופרה Alphv/Blackcat. לאור הפריצה החמורה ונזקיה, נראה כי המבצע הצליח רק באופן חלקי.