استخدمت عصابة برامج الفدية التي اخترقت شركة Change Healthcare الأمريكية العملاقة في مجال التكنولوجيا الصحية، مجموعة من بيانات الاعتماد المسروقة للوصول عن بعد إلى أنظمة الشركة التي لم تكن محمية بمصادقة متعددة العوامل، وفقًا للرئيس التنفيذي للشركة الأم، UnitedHealth.
قدم أندرو ويتي، الرئيس التنفيذي لشركة UnitedHealth، شهادة مكتوبة قبل جلسة استماع للجنة الفرعية بمجلس النواب يوم الأربعاء بشأن هجوم برامج الفدية في فبراير الذي تسبب في أشهر من الاضطراب في نظام الرعاية الصحية الأمريكي.
هذه هي المرة الأولى التي يقدم فيها عملاق التأمين الصحي تقييمًا لكيفية اختراق المتسللين لأنظمة Change Healthcare، والتي تم خلالها تسريب كميات هائلة من البيانات الصحية من أنظمتها. قالت شركة UnitedHealth الأسبوع الماضي إن المتسللين سرقوا بيانات صحية عن “نسبة كبيرة من الناس في أمريكا”.
تقوم شركة Change Healthcare بمعالجة مطالبات التأمين الصحي والفواتير لنحو نصف جميع المقيمين في الولايات المتحدة.
وفقًا لشهادة ويتي، فإن المتسللين المجرمين “استخدموا بيانات اعتماد مخترقة للوصول عن بعد إلى بوابة Change Healthcare Citrix”. تستخدم مؤسسات مثل Change برنامج Citrix للسماح للموظفين بالوصول إلى أجهزة كمبيوتر العمل الخاصة بهم عن بُعد على شبكاتهم الداخلية.
ولم يوضح ويتي كيفية سرقة أوراق الاعتماد. وكانت صحيفة وول ستريت جورنال أول من أبلغ عن استخدام المتسلل لبيانات الاعتماد المخترقة الأسبوع الماضي.
ومع ذلك، قال ويتي إن البوابة “لم يكن لديها مصادقة متعددة العوامل”، وهي ميزة أمان أساسية تمنع إساءة استخدام كلمات المرور المسروقة من خلال طلب رمز ثانٍ يتم إرساله إلى الجهاز الموثوق به للموظف، مثل هاتفه. من غير المعروف لماذا لم يقم Change بإعداد مصادقة متعددة العوامل على هذا النظام، ولكن من المحتمل أن يصبح هذا محط تركيز المحققين الذين يحاولون فهم أوجه القصور المحتملة في أنظمة شركة التأمين.
وقال ويتي: “بمجرد أن تمكن ممثل التهديد من الوصول، تحركوا بشكل أفقي داخل الأنظمة بطرق أكثر تطوراً وقاموا بتسريب البيانات”.
وقال ويتي إن المتسللين نشروا برامج الفدية بعد تسعة أيام في 21 فبراير، مما دفع عملاق الصحة إلى إغلاق شبكته لاحتواء الاختراق.
وأكدت شركة UnitedHealth الأسبوع الماضي أن الشركة دفعت فدية للقراصنة الذين أعلنوا مسؤوليتهم عن الهجوم الإلكتروني وما تلا ذلك من سرقة تيرابايت من البيانات المسروقة. المتسللون، المعروفون باسم RansomHub، هم العصابة الثانية التي تدعي سرقة البيانات بعد نشر جزء من البيانات المسروقة على الويب المظلم والمطالبة بفدية لعدم بيع المعلومات.
وقالت شركة UnitedHealth في وقت سابق من هذا الشهر إن هجوم برامج الفدية كلفها أكثر من 870 مليون دولار في الربع الأول، حيث حققت الشركة ما يقرب من 100 مليار دولار من الإيرادات.
