Change Healthcare se enfrenta a una nueva pesadilla de ciberseguridad después de que un grupo de ransomware comenzara a vender lo que afirma son registros médicos y financieros confidenciales de estadounidenses robados al gigante de la atención médica.
«Para la mayoría de las personas estadounidenses que dudan de nosotros, probablemente tengamos sus datos personales», dijo la pandilla RansomHub en un anuncio visto por WIRED.
Los datos robados supuestamente incluyen registros médicos y dentales, reclamos de pago, detalles del seguro e información personal como números de Seguro Social y direcciones de correo electrónico, según capturas de pantalla. RansomHub afirmó que tenía datos de atención médica sobre personal militar estadounidense en servicio activo.
El robo y la venta generalizados de datos confidenciales sobre atención médica representan una nueva y dramática forma de consecuencias del ciberataque de febrero a Change Healthcare que paralizó las operaciones de pago de reclamos de la compañía y envió al sistema de atención médica de EE. UU. a una crisis mientras los hospitales luchaban por permanecer abiertos sin financiamiento regular. .
Change Healthcare, una subsidiaria de UnitedHealth Group, reconoció anteriormente que una banda de ransomware conocida como BlackCat o AlphV violó sus sistemas y le dijo a WIRED la semana pasada que está investigando las afirmaciones de RansomHub sobre la posesión de datos robados de la compañía. Change Healthcare no respondió de inmediato a una solicitud de comentarios sobre la supuesta venta de sus datos por parte del grupo.
La amplia variedad de datos de pacientes que RansomHub afirma estar vendiendo es un testimonio del papel de Change Healthcare como intermediario crítico entre aseguradoras y proveedores de atención médica, facilitando los pagos entre ambas partes y recopilando una gran cantidad de información confidencial sobre los pacientes y sus procedimientos médicos en el proceso. .
Entre los registros de muestra que publicó RansomHub se encuentra una lista de reclamos abiertos manejados por la subsidiaria EquiClaim de la compañía que incluye nombres de pacientes y proveedores; un expediente hospitalario de una mujer de 74 años en Tampa, Florida; y parte de un registro de base de datos relacionado con la atención médica de los miembros del servicio militar estadounidense.
RansomHub dijo que permitiría a las compañías de seguros individuales que trabajaron con Change Healthcare y cuyos datos se vieron comprometidos pagar rescates para evitar la venta de sus registros. Precisó que estaba vendiendo datos pertenecientes a MetLife, CVS Caremark, Davis Vision, Health Net y Teachers Health Trust.
El «procesamiento de datos confidenciales de todas estas empresas por parte de Change Healthcare es simplemente algo increíble», dijo RansomHub en su anuncio.
La mayoría de las empresas cuyos datos RansomHub afirma poseer no respondieron de inmediato a la solicitud de comentarios de WIRED.
Mike DeAngelis, director ejecutivo de comunicaciones corporativas de CVS Health, dice que la compañía está «consciente de afirmaciones sin fundamento de actores de amenazas de que se accedió a datos confidenciales, incluida información personal de pacientes y miembros que pertenecen a múltiples organizaciones, como parte del incidente de seguridad cibernética de Change Healthcare». .”
«Estamos monitoreando de cerca la respuesta de Change Healthcare a este problema y proporcionaremos actualizaciones con más información según corresponda», agrega DeAngelis, señalando que Change Healthcare aún no ha confirmado que los datos de los pacientes «se hayan visto afectados por este incidente».
Brett Callow, analista de amenazas de la firma de seguridad Emsisoft, que sigue de cerca a las bandas de ransomware, dice que la nueva venta de datos robados probablemente «se trató menos de vender los datos» y más de poner a Change Healthcare, y a las empresas asociadas cuyos registros no logró. proteger: “bajo presión adicional para pagar”.
Change Healthcare parece haber pagado un rescate de 22 millones de dólares a AlphV para evitar que filtre terabytes de datos robados.
Dos meses después de la crisis generada por el ataque de ransomware, Change Healthcare ha enfrentado pérdidas crecientes. La compañía informó recientemente que gastó 872 millones de dólares en respuesta al incidente hasta el 31 de marzo.
Al mismo tiempo, Change está bajo una presión cada vez mayor por parte de legisladores y reguladores para que explique su falla de ciberseguridad y las medidas que está tomando para evitar otro ataque.
Un subcomité del Comité de Energía y Comercio de la Cámara de Representantes celebró una audiencia sobre la postura cibernética del sector de la salud el martes, y legisladores clave dijeron que estaban decepcionados de que UnitedHealth Group se negara a poner a un ejecutivo a disposición para testificar. Y el Departamento de Salud y Servicios Humanos está investigando si el hecho de que Change Healthcare no impidiera que los piratas informáticos accedieran a sus datos y los robaran violó las normas federales de seguridad de datos.
Actualizado el 16/04/2024 a las 5:38 pm ET: Se agregaron detalles adicionales sobre las empresas cuyos datos RansomHub afirma poseer.