Change Healthcare se enfrenta a una nueva pesadilla de ciberseguridad después de que un grupo de ransomware comenzara a vender lo que, según afirma, son registros médicos y financieros confidenciales de estadounidenses robados al gigante de la atención sanitaria.
“Para la mayoría de las personas estadounidenses que dudan de nosotros, probablemente tengamos sus datos personales”, dijo la pandilla RansomHub en un anuncio visto por WIRED.
Los datos robados supuestamente incluyen registros médicos y dentales, reclamos de pago, detalles del seguro e información personal como números de Seguro Social y direcciones de correo electrónico, según capturas de pantalla. RansomHub afirmó que tenía datos de atención médica sobre personal militar estadounidense en servicio activo.
El robo y la venta generalizados de datos confidenciales de atención médica representan una nueva y dramática forma de consecuencias del ciberataque de febrero a Change Healthcare que paralizó las operaciones de pago de reclamos de la compañía y envió al sistema de atención médica de EE. UU. a una crisis mientras los hospitales luchaban por permanecer abiertos sin financiamiento regular. .
Change Healthcare, una subsidiaria de UnitedHealth Group, reconoció anteriormente que una banda de ransomware conocida como BlackCat o AlphV violó sus sistemas y le dijo a WIRED la semana pasada que está investigando las afirmaciones de RansomHub sobre la posesión de datos robados de la compañía. Change Healthcare no respondió de inmediato a una solicitud de comentarios sobre la supuesta venta de sus datos por parte del grupo.
La amplia variedad de datos de pacientes que RansomHub afirma estar vendiendo es un testimonio del papel de Change Healthcare como intermediario crítico entre las aseguradoras y los proveedores de atención médica, facilitando los pagos entre ambas partes y recopilando una gran cantidad de información confidencial sobre los pacientes y sus procedimientos médicos en el proceso. .
Entre los registros de muestra que publicó RansomHub se encuentra una lista de reclamos abiertos manejados por la subsidiaria EquiClaim de la compañía que incluye nombres de pacientes y proveedores; un expediente hospitalario de una mujer de 74 años en Tampa, Florida; y parte de un registro de base de datos relacionado con la atención médica de los miembros del servicio militar estadounidense.
RansomHub dijo que permitiría a las compañías de seguros individuales que trabajaron con Change Healthcare y cuyos datos se vieron comprometidos pagar rescates para evitar la venta de sus registros. Precisó que estaba vendiendo datos pertenecientes a varias compañías de seguros importantes.
El “procesamiento de datos confidenciales de todas estas empresas por parte de Change Healthcare es simplemente algo increíble”, dijo RansomHub en su anuncio.
Brett Callow, analista de amenazas de la firma de seguridad Emsisoft que sigue de cerca a las bandas de ransomware, dice que la nueva venta de datos robados probablemente “no se trató tanto de vender realmente los datos” sino más bien de presionar a Change Healthcare y a las empresas asociadas cuyos registros no logró. proteger: “bajo presión adicional para pagar”.
Change Healthcare parece haber pagado un rescate de 22 millones de dólares a AlphV para evitar que filtre terabytes de datos robados.
Dos meses después de la crisis generada por el ataque de ransomware, Change Healthcare ha enfrentado pérdidas crecientes. La compañía informó recientemente gastando 872 millones de dólares respondiendo al incidente al 31 de marzo.
Al mismo tiempo, Change está bajo una presión cada vez mayor por parte de legisladores y reguladores para que explique su falla de ciberseguridad y las medidas que está tomando para evitar otro ataque.
Un subcomité del Comité de Energía y Comercio de la Cámara de Representantes celebró el martes una audiencia sobre la postura cibernética del sector de la salud, con legisladores clave. dicho Ellos eran decepcionado que UnitedHealth Group se negó a poner a un ejecutivo a disposición para testificar. Y el Departamento de Salud y Servicios Humanos está investigando si el fracaso de Change Healthcare para evitar que los piratas informáticos accedan y roben sus datos violaron las reglas federales de seguridad de datos.