Change Healthcare y RansomHub
Share
El ataque conocido como “Change Healthcare” se ha mantenido muy activo en las noticias desde que este fue revelado el 21 de febrero del 2024. Actualmente tiene una gran presencia en todo el sector de la salud y representa un único punto de falla en muchos lugares distintos.
Change Healthcare es una unidad de tecnología dentro del negocio Optum Insight de UnitedHealth Group.
Optum ofrece una gran variedad de soluciones a compañías de atención médica, planes de salud y farmacias. Por su parte Change Healthcare era una empresa que cotizaba en la bolsa y ofrecía soluciones de datos y análisis a a organizaciones sanitarias antes de fusionarse con Optum en 2022.
En el momento en que fue atacado en febrero de 2024, Change Healthcare tenía mas de 100 aplicaciones que respaldaban servicios de salud y bienestar como farmacia, registros médicos, clínicas, participación del paciente, pago y más.
Esta cartera de soluciones colocaba a Change Healthcare en lo mas profundo de una cadena de suministro que entrega miles de millones de recetas cada año. La compañía tiene un acceso a los registros médicos que equivalen aproximadamente un tercio de todos los pacientes de salud en los Estados Unidos.
El ataque
Aunque el ataque fue revelado el 21 de febrero, no se tiene la fecha exacta de cuando se vio comprometida la información infiltrándose en los sistemas de Change Healthcare.
Es común que los atacantes exploren la red, filtrando datos y estableciendo un acceso remoto persistente antes de que el ataque cifrado de Ransomware sea lanzado. No se tiene claro como y cuando se dio la infiltración a los sistemas, pero se tiene claro como se ha operado por parte de ALPHV en ataques previos:
- Fase 1: Acceso inicial y punto de apoyo (días 1 a 5). “The Threat Actor” da inicio al ataque comprometiendo de esta manera la red de un proveedor externo utilizando un servidor de terminal local en la red del cliente como un punto desde el cual se pueda lanzar el ataque.
- Fase 2: Movimiento Lateral (días 6 a 20). “The Threat Actor” utiliza varias técnicas de ejecución remota de código y la plataforma Cobalt Strike para moverse lateralmente entre los dominios locales de la victima y el entorno Azure a través de RDP y conexiones en túnel.
- Fase 3 Exfiltración de datos y movimiento lateral adicional (días 27 a 30). Utilizando la herramienta “Rclone” se realiza el proceso exfiltrando un gran volumen de datos de los servidores locales a un servicio de almacenamiento en la nube llamado “Wasabi”
- Fase 4: Intentos de extorsión (30 a 45 días). “The Threat Actor” atiborro a la víctima con mensajes de correo electrónico en los cuales amenazaba con publicar información confidencial si no se pagaba un rescate, al tiempo que este jugaba con el volumen y sensibilidad de la información sustraída.
El grupo de Ransomware ALPHV/BlackCat incluyo a “Change Healtcare” en su sitio de fuga de datos el 28 de febrero, en el cual afirman que han robado hasta 6TB de datos pertenecientes a “miles de proveedores de atención médica, proveedores de seguros, farmacias, etc.”
Esta lista seria eliminada mas tarde ese día, mismo que llevo a especular que probablemente existía una negociación.
Pagar el rescate
Change Healthcare no ha confirmado ni negado el pago del rescate, y ese es probablemente el mejor curso de acción. Pagar un rescate es un tema legal complicado, ya que en Estados Unidos prohíbe realizar los pagos, sancionando a través de la Oficina de Control de Activos Extranjeros (OFAC). Los delincuentes de Ransomware sancionados por la OFAC se enumeran como individuos y no como grupos a las autoridades estadounidenses no les importa si usted sabe o no que una persona sancionada es parte del grupo que recibe el rescate.
El que una empresa de atención medica realice el pago de 22 millones de dólares solicitados aparte de ser una de las amenazas más agresivas y sofisticadas para el sector de la salud, genera una mala imagen para la empresa. Dentro de la perspectiva de empresa no quieres ser catalogado como una empresa que financie futuros ataques contra los clientes y socios de la industria.
Los agentes federales hasta los lideres de TI incluyendo los propios de la empresa, aconsejaran que nunca pague un rescate. No puede estar seguro de que la clave de descifrado funcione, no puedes asegurar que los datos robados serán destruidos y es muy probable que esto te convierta en un objetivo para futuros ataques.
“Si Change pagó, es problemático… Destaca la rentabilidad de los ataques al sector de la salud. Las bandas de Ransomware son predecibles: si encuentran que un sector en particular es lucrativo, lo atacaran una y otra vez, lo enjuagaran y repetirán”.
Change Healthcare sabía todo esto, pero aun así encontró una razón para pagar. Probablemente fue uno o mas de las siguientes razones:
- Descifrado y restauración del sistema. El rescate pagó por una clave de descifrado que facilitaría la recuperación.
- Protección de datos. Change Healtcare pagó para que los 6 TB de datos robados se eliminaran en lugar de venderse.
- Prevención de DDoS. ALPHV/BlackCat ha utilizado ataques de denegación de servicio distribuido (DDoS) en el pasado. Es posible que esta amenaza se haya añadido al ataque.
El pago del rescate le dio tiempo a la institución para centrarse en apoyar a los clientes y hacer que los sistemas volvieran a la normalidad, sin embargo, el problema con el Ransomware no había finalizado. Hay que recordar que ALPHV era un operador de RaaS, quien a su ves proporciono la infraestructura, que incluía los sitios de negociación y el sistema de pago. Al cumplirse la fecha de pago de los 22 millones de dólares ALPHV se quedo sin sus afiliados. “como se ve en la siguiente imagen”.
Mientras el supuesto autor lidiaba con las consecuencias de haber sido estafado por su compañero, ALPHV comenzó silenciosamente el proceso de lavado del dinero del rescate:
“Según la firma de inteligencia de blockchain TRM labs, recientemente se ha movido fondos de billeteras con bitcoin vinculadas a otros rescates pagados al grupo ALPHV, estos fondos a su vez se han transferido a muchas direcciones y empleando herramientas como el “mezclador”, han logrado encubrir muchas de las transacciones que pueden ser rastreadas en un libro de contabilidad público”.
RansomHub
RansomHub es un grupo de RaaS que fue observado por primera vez en febrero instante en el que se atribuyó la responsabilidad del ataque a YKP Brasil. Desde entonces ha cobrado decenas de víctimas, aunque no causo mucho revuelo en los medios de comunicación hasta que se vieron envueltos en la situación.
RansomHub en estos instantes exige a Change Healthcare pague un rescate para eliminar estos datos en lugar de venderlos. Funciona como un segundo juego de extorsión en torno a los datos robados. Los grupos de Ransomware modernos agregaron esta amenaza hace años.
Sin embargo, una segunda extorsión presentada en datos robados por parte de otro grupo o institución no solo resulta increíble si no por el contrario desconcentra al usuario vulnerable de este robo.
Existen tres teorías al respecto del RansomHub:
- RansomHub es un cambio de marca de ALPHV y cuenta con los datos.
- “Notchy” y RansomHub se han unido y cuenta con la información para realizar lo que deseen con ella.
- RansomHub no cuenta con la información por lo que se esta aprovechando de la situación de pánico de los usuarios para poder ganar con ello.
No se tiene mucha información al respecto de RansomHub, los datos de los ataques sugieren que la actividad de RansomHum aumento después del cierre de ALPHV mientras que otras investigaciones muestran que RansomHub sigue las mismas reglas que ALPHV
Estas reglas son las siguientes:
- No hay ataques a organizaciones sin fines de lucro.
- No se permiten ataques contra nadie en un estado de la CEI o amigo de la CEI.
- No repite ataques a una victima que ha realizado un pago.
- Los afiliados que no obedezcan estas reglas serán cancelados.
Es demasiado pronto para poder determinar si RansomHub cuenta con los datos del ataque de ALPHV, la institución “Change Healthcare” confirmo que se violaron los datos, pero no existió confirmación de que los datos fueran robados o no. Si Ransomhub que se adjudicó el robo obtendrá el dinero mediante el rescate de información con el pago de esta o la venta clandestina de información a otras instituciones.
Lo único claro en todas estas situaciones es que millones de proveedores y consumidores en atención medica se han visto y probablemente seguirán viéndose afectados negativamente por decisiones que sean tomadas por “Change Healthcare”
Si deseas conocer más información de este o más productos te dejamos los siguientes enlaces:
- Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
- Teléfono: +52(55)5599-0691
- Correo de contacto: ventas@cobranetworks.lat
JR