La banda de ransomware que hackeó al gigante estadounidense de tecnología sanitaria Change Healthcare utilizó un conjunto de credenciales robadas para acceder de forma remota a los sistemas de la empresa que no estaban protegidos por autenticación multifactor, según el director ejecutivo de su empresa matriz, UnitedHealth.
Andrew Witty, director ejecutivo de UnitedHealth proporcionó el testimonio escrito antes de una audiencia del subcomité de la Cámara de Representantes el miércoles sobre el ataque de ransomware de febrero que causó meses de interrupciones en todo el sistema de salud de EE. UU.
Esta es la primera vez que el gigante de los seguros médicos evalúa cómo los piratas informáticos irrumpieron en los sistemas de Change Healthcare, durante lo cual se filtraron enormes cantidades de datos de salud de sus sistemas. UnitedHealth dijo la semana pasada que los piratas informáticos robaron datos de salud de una “proporción sustancial de personas en Estados Unidos”.
Change Healthcare procesa reclamaciones de facturación y seguros médicos para aproximadamente la mitad de todos los residentes de EE. UU.
Según el testimonio de Witty, los piratas informáticos “utilizaron credenciales comprometidas para acceder de forma remota a un portal Citrix de Change Healthcare”. Organizaciones como Change utilizan el software Citrix para permitir que los empleados accedan a sus computadoras de trabajo de forma remota en sus redes internas.
Witty no dio más detalles sobre cómo se robaron las credenciales. El periodico de Wall Street informó por primera vez sobre el uso de credenciales comprometidas por parte del hacker la semana pasada.
Sin embargo, Witty dijo que el portal “no tenía autenticación multifactor”, que es una característica de seguridad básica que evita el uso indebido de contraseñas robadas al requerir que se envíe un segundo código al dispositivo confiable de un empleado, como su teléfono. No se sabe por qué Change no configuró la autenticación multifactor en este sistema, pero esto probablemente se convertirá en el foco de los investigadores que intentan comprender posibles deficiencias en los sistemas de la aseguradora.
“Una vez que el actor de la amenaza obtuvo acceso, se movió lateralmente dentro de los sistemas de maneras más sofisticadas y extrajo datos”, dijo Witty.
Witty dijo que los piratas informáticos implementaron ransomware nueve días después, el 21 de febrero, lo que llevó al gigante de la salud a cerrar su red para contener la infracción.
UnitedHealth confirmó la semana pasada que la empresa pagó un rescate a los piratas informáticos que se atribuyeron la responsabilidad del ciberataque y el posterior robo de terabytes de datos robados. Los piratas informáticos, conocidos como RansomHub, son la segunda banda que reclama el robo de datos después de publicar una parte de los datos robados en la web oscura y exigir un rescate para no vender la información.
UnitedHealth dijo a principios de este mes que el ataque de ransomware le costó más de 870 millones de dólares en el primer trimestre, en el que la compañía obtuvo cerca de 100 mil millones de dólares en ingresos.