Serangan ransomware awal tahun ini terhadap perusahaan teknologi kesehatan milik UnitedHealth, Change Healthcare, kemungkinan besar merupakan salah satu pelanggaran data kesehatan dan medis AS terbesar dalam sejarah.
Beberapa bulan setelah pelanggaran data pada bulan Februari, “sebagian besar orang yang tinggal di Amerika” menerima pemberitahuan melalui surat bahwa informasi pribadi dan kesehatan mereka dicuri oleh penjahat dunia maya selama serangan siber terhadap Change Healthcare. Setidaknya 100 juta orang kini diketahui terkena dampak pelanggaran tersebut.
Change Healthcare memproses penagihan dan asuransi untuk ratusan ribu rumah sakit, apotek, dan praktik medis di sektor layanan kesehatan AS. Oleh karena itu, ia mengumpulkan dan menyimpan sejumlah besar data medis yang sangat sensitif mengenai pasien di Amerika Serikat. Melalui serangkaian merger dan akuisisi, Change menjadi salah satu pemroses data kesehatan AS terbesar, menangani antara sepertiga hingga setengah dari seluruh transaksi kesehatan AS.
Inilah yang terjadi sejak serangan ransomware dimulai.
21 Februari 2024
Laporan pertama tentang pemadaman listrik saat insiden keamanan muncul
Rasanya seperti Rabu sore biasa, namun ternyata tidak. Pemadaman listrik terjadi secara tiba-tiba. Pada tanggal 21 Februari, sistem penagihan di kantor dokter dan praktik layanan kesehatan berhenti berfungsi, dan klaim asuransi berhenti diproses. Halaman status di situs web Change Healthcare dibanjiri dengan pemberitahuan pemadaman listrik yang memengaruhi setiap bagian bisnisnya, dan kemudian pada hari itu juga perusahaan mengonfirmasi bahwa mereka “mengalami gangguan jaringan terkait dengan masalah keamanan siber.” Jelas ada sesuatu yang tidak beres.
Ternyata Change Healthcare menggunakan protokol keamanannya dan mematikan seluruh jaringannya untuk mengisolasi penyusup yang ditemukan di sistemnya. Hal ini berarti penghentian layanan kesehatan secara tiba-tiba dan meluas di sektor layanan kesehatan yang bergantung pada segelintir perusahaan – seperti Change Healthcare – untuk menangani asuransi kesehatan dan penagihan klaim di sebagian besar wilayah Amerika Serikat. Belakangan diketahui bahwa para peretas awalnya membobol sistem perusahaan lebih dari seminggu sebelumnya, pada atau sekitar 12 Februari.
29 Februari 2024
UnitedHealth mengonfirmasi bahwa mereka terkena geng ransomware
Setelah awalnya (dan secara keliru) mengaitkan penyusupan tersebut dengan peretas yang bekerja untuk pemerintah atau negara, UnitedHealth kemudian mengatakan pada tanggal 29 Februari bahwa serangan siber tersebut sebenarnya adalah ulah geng ransomware. UnitedHealth mengatakan geng tersebut “mewakili dirinya kepada kami sebagai ALPHV/BlackCat,” kata juru bicara perusahaan kepada TechCrunch pada saat itu. Sebuah situs pembocor web gelap yang terkait dengan geng ALPHV/BlackCat juga mengaku bertanggung jawab atas serangan tersebut, mengklaim telah mencuri jutaan informasi sensitif kesehatan dan pasien Amerika, sehingga memberikan indikasi pertama mengenai berapa banyak orang yang terpengaruh oleh insiden ini.
ALPHV (alias BlackCat) adalah geng ransomware-as-a-service berbahasa Rusia yang terkenal. Afiliasinya – kontraktor yang bekerja untuk geng tersebut – membobol jaringan korban dan menyebarkan malware yang dikembangkan oleh para pemimpin ALPHV/BlackCat, yang mengambil bagian dari keuntungan yang dikumpulkan dari uang tebusan yang dikumpulkan dari korban untuk mendapatkan kembali file mereka.
Mengetahui bahwa pelanggaran tersebut disebabkan oleh geng ransomware mengubah persamaan serangan dari jenis peretasan yang dilakukan pemerintah – terkadang untuk mengirim pesan ke pemerintah lain alih-alih mempublikasikan informasi pribadi jutaan orang – menjadi pelanggaran yang disebabkan oleh penjahat dunia maya yang bermotivasi finansial. , yang cenderung menggunakan pedoman yang sama sekali berbeda untuk mendapatkan gajinya.
3-5 Maret 2024
UnitedHealth membayar uang tebusan sebesar $22 juta kepada peretas, yang kemudian menghilang
Pada awal Maret, geng ransomware ALPHV menghilang. Situs kebocoran geng tersebut di web gelap, yang beberapa minggu sebelumnya dianggap sebagai penyebab serangan siber, diganti dengan pemberitahuan penyitaan yang mengklaim bahwa penegak hukum Inggris dan AS telah menghapus situs geng tersebut. Namun baik FBI maupun otoritas Inggris membantah memberantas geng ransomware seperti yang mereka coba beberapa bulan sebelumnya. Semua tanda menunjukkan ALPHV melarikan diri dengan uang tebusan dan melakukan “penipuan keluar.”
Dalam sebuah postingan, afiliasi ALPHV yang melakukan peretasan di Change Healthcare mengklaim bahwa pimpinan ALPHV mencuri $22 juta yang dibayarkan sebagai tebusan dan menyertakan tautan ke satu transaksi bitcoin pada tanggal 3 Maret sebagai bukti klaim mereka. Namun meskipun mereka kehilangan bagian dari pembayaran uang tebusan, afiliasi tersebut mengatakan bahwa data yang dicuri “masih ada pada kami.” UnitedHealth telah membayar uang tebusan kepada peretas yang meninggalkan datanya dan menghilang.
13 Maret 2024
Gangguan yang meluas di layanan kesehatan AS di tengah kekhawatiran akan pelanggaran data
Sementara itu, beberapa minggu setelah terjadinya serangan siber, pemadaman listrik masih berlangsung dan banyak di antara mereka yang tidak bisa mendapatkan resep atau harus mengeluarkan uang tunai. Penyedia asuransi kesehatan militer TriCare mengatakan “semua apotek militer di seluruh dunia” juga terkena dampaknya.
Asosiasi Medis Amerika adalah mengatakan hanya ada sedikit informasi dari UnitedHealth dan Change Healthcare tentang pemadaman listrik yang sedang berlangsung, menyebabkan gangguan besar-besaran yang terus melanda sektor layanan kesehatan.
Pada tanggal 13 Maret, Change Healthcare telah menerima salinan “aman” dari data yang dicuri yang beberapa hari sebelumnya telah dibayar sebesar $22 juta. Hal ini memungkinkan Change untuk memulai proses meneliti kumpulan data untuk menentukan informasi siapa yang dicuri dalam serangan siber, dengan tujuan memberi tahu sebanyak mungkin individu yang terkena dampak.
28 Maret 2024
Pemerintah AS meningkatkan hadiahnya menjadi $10 juta untuk informasi yang mengarah pada penangkapan ALPHV
Pada akhir bulan Maret, pemerintah Amerika mengatakan bahwa mereka meningkatkan jumlah informasi mengenai kepemimpinan kunci ALPHV/BlackCat dan afiliasinya.
Dengan menawarkan $10 juta kepada siapa pun yang dapat mengidentifikasi atau menemukan orang-orang di balik geng tersebut, pemerintah AS tampaknya berharap bahwa salah satu orang dalam geng tersebut akan berpaling dari mantan pemimpin mereka. Hal ini juga dapat dilihat ketika Amerika Serikat menyadari adanya ancaman jika sejumlah besar informasi kesehatan Amerika berpotensi dipublikasikan secara online.
15 April 2024
Kontraktor membentuk geng tebusan baru dan menerbitkan beberapa data kesehatan yang dicuri
Lalu ada dua — yaitu uang tebusan. Pada pertengahan April, afiliasi yang merasa dirugikan ini mendirikan jaringan pemerasan baru yang disebut RansomHub, dan karena masih memiliki data yang dicurinya dari Change Healthcare, mereka meminta uang tebusan kedua dari UnitedHealth. Dengan melakukan hal ini, RansomHub menerbitkan sebagian dari file yang dicuri yang berisi catatan pasien yang tampaknya bersifat pribadi dan sensitif sebagai bukti ancaman mereka.
Geng Ransomware tidak hanya mengenkripsi file; mereka juga mencuri data sebanyak mungkin dan mengancam akan mempublikasikan file tersebut jika uang tebusan tidak dibayarkan. Hal ini dikenal sebagai “pemerasan ganda.” Dalam beberapa kasus, ketika korban membayar, geng ransomware dapat memeras korban lagi — atau, dalam kasus lain, memeras pelanggan korban, yang dikenal sebagai “pemerasan tiga kali lipat.”
Kini, setelah UnitedHealth bersedia membayar satu uang tebusan, terdapat risiko bahwa raksasa layanan kesehatan tersebut akan diperas lagi. Itu sebabnya penegak hukum telah lama menganjurkan agar tidak membayar uang tebusan yang memungkinkan penjahat mengambil keuntungan dari serangan siber.
22 April 2024
UnitedHealth mengatakan peretas ransomware mencuri data kesehatan “sebagian besar orang di Amerika”
Untuk pertama kalinya, UnitedHealth mengkonfirmasi pada tanggal 22 April – lebih dari dua bulan setelah serangan ransomware dimulai – bahwa ada pelanggaran data dan kemungkinan besar berdampak pada “sebagian besar orang di Amerika,” tanpa menyebutkan berapa juta orang yang terkena dampaknya. memerlukan. UnitedHealth juga mengonfirmasi bahwa pihaknya membayar uang tebusan untuk data tersebut tetapi tidak menyebutkan berapa banyak uang tebusan yang akhirnya dibayarkan.
Perusahaan mengatakan bahwa data yang dicuri mencakup informasi yang sangat sensitif, termasuk catatan medis dan informasi kesehatan, diagnosis, pengobatan, hasil tes, pencitraan dan rencana perawatan dan pengobatan, serta informasi pribadi lainnya.
Mengingat Change Healthcare menangani data sekitar sepertiga dari semua orang yang tinggal di Amerika Serikat, pelanggaran data kemungkinan akan berdampak setidaknya pada lebih dari 100 juta orang. Ketika dihubungi oleh TechCrunch, juru bicara UnitedHealth tidak membantah jumlah kemungkinan yang terkena dampak namun mengatakan bahwa tinjauan data perusahaan sedang berlangsung.
1 Mei 2024
Kepala eksekutif UnitedHealth Group bersaksi bahwa Change tidak menggunakan keamanan siber dasar
Mungkin tidak mengherankan jika perusahaan Anda mengalami salah satu pelanggaran data terbesar dalam sejarah baru-baru ini, kepala eksekutifnya pasti akan dipanggil untuk memberikan kesaksian di hadapan anggota parlemen.
Hal itulah yang terjadi dengan CEO UnitedHealth Group (UHG) Andrew Witty, yang di Capitol Hill mengakui bahwa para peretas membobol sistem Change Healthcare menggunakan satu set kata sandi pada akun pengguna yang tidak dilindungi dengan otentikasi multi-faktor, sebuah fitur keamanan dasar yang dapat mencegah serangan penggunaan kembali kata sandi dengan meminta kode kedua dikirim ke telepon pemegang akun tersebut.
Salah satu pelanggaran data terbesar dalam sejarah AS sebenarnya dapat dicegah, itulah pesan utamanya. Witty mengatakan bahwa pelanggaran data kemungkinan akan mempengaruhi sekitar sepertiga orang yang tinggal di Amerika – sejalan dengan perkiraan perusahaan sebelumnya bahwa pelanggaran tersebut mempengaruhi sebanyak mungkin orang yang memproses klaim layanan kesehatan oleh Change Healthcare.
20 Juni 2024
UHG mulai memberi tahu rumah sakit dan penyedia layanan kesehatan yang terkena dampak data apa saja yang telah dicuri
Change Healthcare memerlukan waktu hingga tanggal 20 Juni untuk mulai secara resmi memberi tahu individu yang terkena dampak bahwa informasi mereka telah dicuri, sebagaimana diwajibkan secara hukum berdasarkan undang-undang yang umumnya dikenal sebagai HIPAA, yang kemungkinan besar tertunda karena besarnya kumpulan data yang dicuri.
Perusahaan menerbitkan pemberitahuan yang mengungkapkan pelanggaran data dan mengatakan bahwa pihaknya akan mulai memberi tahu individu yang telah diidentifikasi dalam salinan “aman” dari data yang dicuri. Namun Change mengatakan pihaknya “tidak dapat memastikan secara pasti” data apa saja yang dicuri tentang setiap individu dan bahwa informasi tersebut mungkin berbeda dari orang ke orang. Change mengatakan pihaknya memasang pemberitahuan tersebut di situs webnya, karena “mungkin tidak memiliki alamat yang cukup untuk semua individu yang terkena dampak.”
Insiden itu begitu besar dan kompleks hingga Departemen Kesehatan dan Layanan Kemanusiaan AS melangkah masuk dan berkata bahwa penyedia layanan kesehatan yang terkena dampak, yang pasiennya pada akhirnya terkena dampak pelanggaran tersebut, dapat meminta UnitedHealth untuk memberi tahu pasien yang terkena dampak atas nama mereka, sebuah upaya yang terlihat dalam mengurangi beban penyedia layanan kesehatan kecil yang keuangannya terpukul di tengah pemadaman listrik yang sedang berlangsung.
29 Juli 2024
Change Healthcare mulai memberi tahu individu yang diketahui terkena dampak melalui surat
Raksasa teknologi kesehatan ini mengkonfirmasi pada akhir bulan Juni bahwa mereka akan mulai memberi tahu mereka yang data layanan kesehatannya dicuri dalam serangan ransomware secara bergilir. Proses itu dimulai pada akhir Juli.
Surat-surat yang dikirimkan kepada individu yang terkena dampak kemungkinan besar berasal dari Change Healthcare, atau penyedia layanan kesehatan tertentu yang terkena dampak peretasan di Change. Surat tersebut mengonfirmasi jenis data apa yang dicuri, termasuk data medis dan informasi asuransi kesehatan, serta informasi klaim dan pembayaran, yang menurut Change mencakup informasi keuangan dan perbankan.
24 Oktober 2024
UnitedHealth mengonfirmasi setidaknya 100 juta orang terkena dampak pelanggaran data
Raksasa asuransi kesehatan ini membutuhkan waktu lebih dari delapan bulan untuk mengumumkannya, namun kini mereka telah mengonfirmasi bahwa pelanggaran data tersebut berdampak pada lebih dari 100 juta orang. Jumlah mereka yang terkena dampak diperkirakan akan meningkat, mengingat beberapa di antaranya telah menerima pemberitahuan pelanggaran data pada bulan Oktober. Departemen Kesehatan dan Layanan Kemanusiaan AS melaporkan nomor yang diperbarui di portal pelanggaran datanya pada 24 Oktober.
Saat ini, pembobolan data di Change Healthcare kini menjadi pencurian digital terbesar pada rekam medis AS, dan salah satu pembobolan data terbesar dalam sejarah.
