Η ransomware συμμορία που παραβίασε τη θυγατρική της UnitedHealth, Change Healthcare, το Φεβρουάριο, φαίνεται πως εκμεταλλεύτηκε μια ευπάθεια ασφαλείας σε λογισμικό της Citrix, που επιτρέπει στους υπαλλήλους απομακρυσμένη πρόσβαση στους επιτραπέζιους υπολογιστές τους.
Αυτό θα πει στην αυριανή του κατάθεση ο Διευθύνων Σύμβουλος της UnitedHealth, Andrew Witty, ενώπιον του House Energy and Commerce Committee.
Το πρωί της 21ης Φεβρουαρίου, affiliates της συμμορίας ransomware BlackCat κλείδωσαν τα συστήματα της Change Healthcare και ζήτησαν λύτρα από την εταιρεία.
Δείτε επίσης: Citrix και Sophos επηρεάζονται από σφάλματα του δίσεκτου έτους
“Μη γνωρίζοντας το σημείο εισόδου της επίθεσης εκείνη τη στιγμή, διακόψαμε αμέσως τη σύνδεση με τα κέντρα δεδομένων της Change, για να εξαλείψουμε την πιθανότητα περαιτέρω μόλυνσης“, λέει η μαρτυρία.
Οι hackers χρησιμοποίησαν παραβιασμένα credentials σύνδεσης για να αποκτήσουν απομακρυσμένη πρόσβαση σε ένα Change Healthcare Citrix portal που δεν προστατευόταν με έλεγχο ταυτότητας πολλαπλών παραγόντων.
Προς το παρόν, δεν έχει αποκαλυφθεί η ευπάθεια Citrix που χρησιμοποίησε η ransomware ομάδα για την παραβίαση της Change Healthcare. Ωστόσο, οι ομοσπονδιακές υπηρεσίες είχαν προειδοποιήσει πολλές φορές για κενά ασφαλείας σε εργαλεία Citrix, στα τέλη του περασμένου έτους.
Η ακρόαση του CEO θα επικεντρωθεί στον αντίκτυπο της κυβερνοεπίθεσης στους ασθενείς και τους παρόχους υπηρεσιών.
Δείτε επίσης: CISA προς ομοσπονδιακές υπηρεσίες: Διορθώστε άμεσα Citrix NetScaler και Chrome zero-days
Η UnitedHealth συνεργάζεται με το FBI και εταιρείες κυβερνοασφάλειας για να διερευνήσει την παραβίαση. Εμπειρογνώμονες ασφαλείας από τη Google , τη Microsoft, τη Cisco και την Amazon συνεργάστηκαν με ερευνητές από τις Mandiant και Palo Alto Networks για την ασφάλεια των συστημάτων Change Healthcare μετά την παραβίαση.
Την περασμένη εβδομάδα, ο CEO παραδέχτηκε ότι η UnitedHealth έδωσε στους hackers τα λύτρα που ζήτησαν, αν και δεν ξέρουμε το ακριβές ποσό. Η εταιρεία προχώρησε σε αυτή την κίνηση προκειμένου να προστατεύσει τα δεδομένα ασθενών, αφού επιβεβαίωσε ότι αρχεία που περιείχαν προσωπικές πληροφορίες παραβιάστηκαν κατά την επίθεση. Οι hackers πίσω από την επίθεση είχαν ήδη αναφέρει ότι η εταιρεία πλήρωσε τα λύτρα, αλλά τα δεδομένα παραμένουν στα χέρια των εγκληματιών, οι οποίοι απειλούν ξανά με διαρροή.
Αξίζει να σημειωθεί ότι η πληρωμή των λύτρων δεν είναι ποτέ καλή ιδέα. Οι εταιρείες καταφεύγουν συχνά σε αυτές τις μεθόδους γιατί νομίζουν ότι μπορούν να μειώσουν τον αντίκτυπο της επίθεσης, αλλά ποτέ δεν μπορείς να εμπιστευτείς τους hackers (όπως συνέβη στην περίπτωση της UnitedHealth- Change Healthcare).
Δείτε επίσης: Citrix: Προειδοποιεί για zero-day ευπάθειες Netscaler
Η πρώτη και πιο άμεση συνέπεια της πληρωμής λύτρων είναι ότι ενθαρρύνει τους εγκληματίες να συνεχίσουν τις επιθέσεις τους. Όταν οι επιχειρήσεις πληρώνουν, οι επιτιθέμενοι βλέπουν ότι η τακτική τους είναι αποτελεσματική και επομένως είναι πιο πιθανό να συνεχίσουν να χρησιμοποιούν το ransomware ως μέσο εκβιασμού.
Έπειτα, η πληρωμή λύτρων δεν εγγυάται ότι θα αποκτήσετε πίσω τα δεδομένα. Οι επιτιθέμενοι μπορεί να μην σας δώσουν τον απαραίτητο κλειδί αποκρυπτογράφησης ή το εργαλείο αποκρυπτογράφησης, ακόμη και αφού έχετε πληρώσει. Επίσης, μπορεί να διαρρεύσουν κλεμμένα δεδομένα είτε πληρώσετε είτε όχι.
Πηγή: www.reuters.com
