Ascension

米国最大の民間医療システムのひとつであるアセンションは、5月に発生したBlack Bastaランサムウェアに関連したサイバー攻撃により、約560万人の患者と従業員の個人情報と健康データが盗まれたことを通知している。

この医療ネットワークは、2023年の総収入を283億ドルと報告し、全米で140の病院と40の高齢者介護施設を運営している。

同社は現在、影響を受けた559万9,699人に対し、米国郵政公社を通じてデータ流出通知を郵送している。12月19日木曜日から、アセンションはまた、サイバースキャン監視と100万ドルの保険払い戻し保険を含むIDX個人情報盗難保護サービスの24ヶ月無料を影響を受けた人々に提供する。

アセンション社は、5月8日の攻撃を検知した後、法執行機関やCISAやFBIなどの政府パートナーに情報漏洩を通知したという。

「不正行為を発見し、サイバーセキュリティの専門家の協力を得て調査を開始しました。「この調査を通じて、5月7日と8日にサイバー犯罪者が当病院の患者や関係者の個人情報を含む特定のファイルのコピーを入手した証拠を発見しました。

情報漏洩以来、アセンションの調査により、盗まれたファイルの一部には、患者や従業員の氏名、および以下のカテゴリーの1つ以上にまたがる情報が含まれていることが判明した(具体的に漏洩した情報の種類は個人によって異なる):

  1. カルテ番号、診療日、臨床検査の種類、処置コードなどの医療情報、
  2. クレジットカード情報や銀行口座番号を含む支払い情報、
  3. メディケイド/メディケアID、保険契約番号、保険金請求を含む保険情報、
  4. 社会保障番号、納税者番号、運転免許証番号、パスポート番号などの政府識別情報、
  5. 生年月日や住所などのその他の個人情報。

事件発生後、Ascension社は、ランサムウェアの侵入は、会社のデバイスに悪意のあるファイルをダウンロードした従業員によって引き起こされたことを明らかにした。しかし、従業員は正規のファイルをダウンロードしたと思っていたことから、これは「正直なミス」であった可能性が高いと同社は考えている。

このランサムウェア攻撃は、アセンションの電子カルテシステム「マイチャート」や電話、検査や処置、薬の注文システムに影響を与えた。また、当初は “サイバー・セキュリティ・イベント “と説明していたものを封じ込めるため、5月8日に医療大手は一部のデバイスをオフラインにせざるを得なくなった。

事件後、アセンションの従業員は患者の電子記録にアクセスできなくなったため、処置や投薬の記録を紙で管理しなければならなくなった。同社はまた、トリアージの遅れを防ぐため、緊急でない選択的処置、検査、予約を一時停止し、救急医療サービスを他の医療ユニットに回さなければならなかった。

医療大手は5月の攻撃とランサムウェア作戦との関連性をまだ明らかにしていないが、CNNはサイバー犯罪組織Black Bastaをこの事件と関連付けた(ランサムウェアグループはまだAscensionをデータ流出サイトに追加していない)。情報漏えいの数日後、医療情報共有分析センター(Health-ISAC)も、Black Bastaが “最近、医療セクターに対する攻撃を加速させている “と警告した

2022年4月にこの作戦が浮上して以来、Black Bastaは、ドイツの防衛請負会社Rheinmetall、アウトソーシング大手Capita、米国政府請負会社ABBトロント公共図書館など、多くの著名な被害者のネットワークを侵害してきた。

Elliptic社とCorvus Insurance社の共同調査によると、このランサムウェア集団は2023年11月までに90人以上の被害者から1億ドル以上を集めている