הנזק ממתקפת סייבר אחת – יותר ממיליארד דולר

קבוצת יונייטד-הלת' (UnitedHealth) – הבעלים של צ'יינג' הלת'קר (Change Healthcare), שהותקפה בפברואר בסייבר – הודיעה כי העלויות הכוללות של הטיפול במתקפה ברבעון הראשון של 2024 עומדות כיום על 872 מיליון דולר. מאמצי השיקום מהמתקפה נמשכים, וסך העלויות צפוי לעמוד על 1.35-1.6 מיליארד ד'. סכום זה אינו כולל יותר מ-6 מיליארדי דולר נוספים – של המימון וההלוואות בלא ריבית שניתנו ללקוחות החברה, שנפגעו גם הם מהמתקפה.

הגשת הדו"חות הכספיים של הקבוצה לבורסה, שהתבצעה באחרונה, היא הפעם הראשונה בה יונייטד-הלת' חושפת את העלויות הישירות והעסקיות של המתקפה, שגרמה לשיתוק ולשיבוש בפעילות של בתי חולים ובתי מרקחת ברחבי ארה"ב – הן בהיבט תזרים המזומנים והן ביכולתם לספק טיפול.

הכל החל כשהיא הותקפה בפברואר בסייבר. צ'יינג' הלת'קר. צילום: Shutterstock

כ-15 מיליארד מרשמים ותעבורות כספיות בשנה

בסוף מרץ, משרד החוץ האמריקני הודיע כי הוא מציע פרס בסך של 10 מיליון דולר תמורת מידע שיוביל לזיהוי או למיקומם של ההאקרים שביצעו את המתקפה "המשבשת ביותר" נגד צ'יינג' הלת'קר.

צ'יינג' הלת'קר היא ספקית של ניהול הכנסות ומחזורי תשלומים, המחברת בין תשלומים, ספקים ומטופלים במערכת הבריאות האמריקנית. היא מפעילה את מערך חילופי המידע הפיננסי והמנהלי הגדול בארה"ב במגזר הבריאות. ככזו, היא מטפלת מדי שנה בכ-15 מיליארד מרשמים ותעבורות כספיות בין גופים שונים בעולם הבריאות בארה"ב.

ב-21 בפברואר השנה החברה נפגעה ממתקפת סייבר, שמנעה יכולת להעביר תשלומים לרופאים על הפלטפורמה שלה. בשל המתקפה לא ניתן היה לטפל ולנהל תשלומים אלקטרוניים ותביעות רפואיות במרחב הבריאות בארה"ב, מה שהוביל לשיבושים תפעוליים בקרב ארגוני בריאות רבים, בארה"ב ומחוצה לה.

כך, מטופלים נאלצו לשלם עבור רבות מהתרופות שלהם מכיסם, במקום לקבלן בחינם או במחיר מופחת תמורת מרשם. ספקי שירותי בריאות רבים טענו שהם מפסידים מדי יום הכנסות משמעותיות כתוצאה מההפרעה – עד 100 מיליון דולר ליום – מצב שאיים על רבים מהם להפוך לחדלי פירעון.

Congress rails against UnitedHealth Group after ransomware attack. https://t.co/7iwtlEfn2j via @chrismvasq

— CyberScoop (@CyberScoopNews) April 16, 2024

מיליארדים לספקים שנפגעו

מאז הפריצה, קבוצת יונייטד-הלת' שילמה מיליארדים לספקים שנפגעו מהמתקפה, כדי לסייע להם להמשיך ולתפקד. יממה לאחר המתקפה, הודיעה  יונייטד-הלת' לרשות האמריקנית לניירות ערך, ה-SEC, כי "שחקן חשוד הקשור לאיום אבטחת סייבר" הצליח להשיג גישה למערכת ה-IT של צ'יינג' הלת'. משם, במתכונת פריצה צד ג', המכונה מתקפת שרשרת אספקה, ההאקרים השיגו גישה לארגוני בריאות נוספים ולחברות ביטוח רפואי. עוד נפרצו בתי מרקחת פרטיים ברחבי ארה"ב וכלל בתי מרקחת ובתי חולים של צבא ארה"ב בעולם.

כעבור שבוע, ב-29 בפברואר, אישרה החברה כי מתקפת הכופרה בוצעה על ידי שחקן איום בסייבר, "שהציג את עצמו בפני החברה כ-ALPHV/Blackcat". לצד עבודה עם סוכנויות אכיפת החוק, החברה שכרה את שירותי מנדיאנט (Mandiant) מבית גוגל ואת פאלו אלטו (Palo Alto Networks). 

ההאקרים, מצידם, טענו כי גנבו 6 טרה-בייט של נתונים, "הנוגעים לכל לקוחות צ'יינג' הלת'", וכי יש ברשותם "נתונים רגישים המעובדים על ידי החברה".

טענות: יונייטד-הלת' שילמה להאקרים דמי כופר בסך 22 מיליון דולר

בתחילת מרץ נחשף ב-Wired, כי יונייטד-הלת' שילמה להאקרים דמי כופר בסך 22 מיליון דולר במטבעות קריפטו. החברה לא הגיבה לדיווח.

תשלום דמי הכופר, לפי KrebsonSecurity, הביא לסכסוך בין ההאקרים, כאשר חלקם טענו כי רימו אותם והם לא קיבלו את הנתח המגיע להם מדמי הכופר ששולמו.

במחצית מרץ הנהלת החברה זומנה לבית הלבן, שם ננזפה על הסכום הנמוך שהעניקה לספקים שנפגעו ונדרשה להגדיל את היקף הסיוע.

משרד החוץ האמריקני מסר כי "קבוצת הכופרה-כשירות ALPHV/BlackCat פרצה וסיכנה רשתות מחשבים של מגזרי תשתית קריטיים בארה"ב ובעולם. היא פרסה ותקפה בכופרה באופן ממוקד ארגונים, השביתה תכונות אבטחה ברשתות הקורבנות, גנבה מידע סודי רגיש, דרשה תשלום דמי כופר תמורת השבת המידע שהוצפן ואיימה לפרסם את הנתונים הגנובים אם דמי הכופר לא ישולמו". 

CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, מתחה באחרונה ביקורת והביעה דאגה לגבי רמת השקיפות הנמוכה של יונייטד-הלת' בנוגע לתקרית.