healthcare

4/30/24:情報窃取マルウェアによって盗まれたChange HealthcareのCitrix認証情報についてのアップデートを以下に追加。

ユナイテッドヘルス社は、Change Healthcare社のネットワークがBlackCatランサムウェア一味に侵入され、盗まれた認証情報を使って、多要素認証が有効になっていない同社のシトリックス・リモート・アクセス・サービスにログインされたことを確認した。

これは、明日予定されている下院エネルギー・商業小委員会の公聴会に先駆けて発表された、ユナイテッドヘルス社のアンドリュー・ウィッティCEOの書面による証言で明らかになった。

Change Healthcareに対するランサムウェア攻撃は2024年2月下旬に発生し、OptumのChange Healthcareプラットフォームで深刻な業務障害が発生した。

これにより、支払処理、処方箋作成、保険請求など、全米の医療提供者が利用する広範な重要サービスに影響が及び、8億7200万ドルと推定される金銭的損害が発生した。

以前、BlackCatランサムウェアの一団は、UnitedHealthから2,200万ドルの身代金の支払いを受けたと主張していたが、これは出口詐欺で攻撃を行った関連会社から盗まれたものだった。その直後、この関連会社はまだデータを持っていると主張し、RansomHubと提携して盗んだデータを流出させることで追加の恐喝要求を開始した。

ヘルスケア機関は最近、情報漏洩後に人々のデータを保護するために身代金を支払ったことを認めたが、攻撃や誰が実行したかについての詳細は公式には明らかにされていない。

RansomHubはその後、Change Healthcareのエントリーをサイトから削除し、追加の身代金が支払われたことを示している。

容易な侵入

アンドリュー・ウィッティ最高経営責任者(CEO)の証言によると、攻撃は2月21日の朝に発生し、脅威者がシステムの暗号化を開始し、組織の従業員がアクセスできないようにした。

また、同社は初めて、ALPHV/BlackCatランサムウェア作戦がこの攻撃の背後にあったという‘sの報告を公式に確認した。

実際に公衆の面前で攻撃が行われたのは2月21日だったが、Witty社は、攻撃者が暗号化装置を展開するまでの約10日間、同社のネットワークにアクセスしていたことを明らかにした。この間、攻撃者はネットワークに侵入し、恐喝に使われる企業データや患者データを盗み出した。

現在も進行中の調査により、攻撃者が最初にChange HealthcareのCitrixポータルにアクセスしたのは2024年2月12日で、盗んだ従業員の認証情報を使用していたことが明らかになりました。これらの認証情報が最初にフィッシング攻撃で盗まれたのか、情報を盗むマルウェアで盗まれたのかは不明です。

「2月12日、犯罪者は漏洩した認証情報を使用して、デスクトップへのリモートアクセスを可能にするために使用されるアプリケーションであるChange HealthcareのCitrixポータルにリモートアクセスしました。

「このポータルには多要素認証がありませんでした。このポータルには多要素認証がありませんでした」とウィッティ氏は説明する。「脅威者はいったんアクセスすると、さらに巧妙な方法でシステム内を移動し、データを流出させました。ランサムウェアはその9日後に導入されました」。

同CEOはまた、身代金を支払うという選択はすべて彼自身のものであり、最も難しい決断のひとつであったと述べ、個人的な瞬間も共有した。

「最高経営責任者として、身代金を支払う決断をしたのは私です。身代金を支払うという決断は、最高経営責任者として私が下したものだ。そして、私はそれを誰にも望みません」とウィッティは証言の中で書いている。

改善への努力

ウィッティ氏はさらに、攻撃後すぐにとったシステムの安全確保のための行動について概説し、それを「迅速かつ強力なもの」であったとし、これが人々に与える影響を知っていたにもかかわらず、すべてをダウンさせることで脅威を封じ込めることに成功したと述べた。

攻撃後、同組織のITチームは数千台のノートパソコンを交換し、認証情報をローテーションし、わずか数週間でChange Healthcareのデータセンター・ネットワークとコア・サービスを完全に再構築した。ウィッティ氏は、このような作業には通常数カ月を要したと述べている。

オンラインに流出したデータサンプルには、保護されるべき医療情報(PHI)と個人を特定できる情報(PII)が含まれていたが、これまでのところ、医師のカルテや完全な病歴などの資料が流出した形跡はないとWitty氏は指摘する。

影響を受けたサービスの状況については、薬局のネットワークは通常より数パーセント低い水準で運営されており、医療請求の流れはほぼ通常水準、支払い処理は事故前の約86%の水準であるとしている。

更新 4/30/24: ハドソンロックのCTOであるアロン・ギャル氏は、我々の記事を発表した後、2月8日に同社の脅威インテリジェンス・プラットフォームが、情報窃取マルウェアによって盗まれたチェンジ・ヘルスケア従業員のシトリックス認証情報を検出したと語った。

Stolen Change Healthcare Citrix Credentials
盗まれた Change Healthcareの Citrix クレデンシャル
ソースはこちら:ハドソンロック

盗まれた認証情報は、remoteapps[.]changehealthcare[.]com/vpn/index.htmというURLに関連付けられており、そのサイトにはもうアクセスできませんが、Change HealthcareのCitrix GatewayログインページのURLであることが確認されています。

これがChange Healthcareのネットワークにアクセスし、ランサムウェア攻撃を行うために使用された認証情報であるかどうかは不明です。