Ci sarebbe il gruppo di ransomware Blackcat dietro l’attacco di pirateria informatica che ha causa una lunga serie di problemi e interrruzioni a farmacie e sistemi sanitari degli Stati Uniti. A confermarlo è stata nella giornata di ieri Change Healthcare, aggiungendo che i suoi esperti sono al lavoro per offrire una soluzione alla questione. Lavoro condotto di concerto con le forze dell’ordine e i principali consulenti di terze parti.
La dichiarazione è stata rilasciata a CNBC, dopo che Blackcat aveva affermato a sua volta di essere responsabile del raid con un comunicato postato sul Dark Web, per poi essere cancellato. Nello stesso messaggio, il gruppo ha affermato di essere riuscito a estrarre sei terabyte di dati. Tra di essi cartelle cliniche, documenti assicurativi e informazioni sui pagamenti.
C’è Blackcat dietro l’attacco a Change Healhtcare
“Stiamo lavorando attivamente per comprendere l’impatto su membri, pazienti e clienti”: questa la dichiarazione rilasciata da Change Healthcare per cercare di rassicurare in relazione all’attacco di Blackcat. Per riuscire nell’intento, la società si è affidata a Mandiant, azienda nell’orbita di Google, e al fornitore di sicurezza informatica Palo Alto Networks.
La società madre di Change, UnitedHealth Group, ha a sua volta affermato di aver constatato la violazione da parte di un “attore di minacce informatiche” della sua rete informatica, il passato 21 febbraio. La denuncia di quanto accaduto è parte di un documento il quale è stato depositato presso la Securities and Exchange Commission (SEC) degli Stati Uniti.
La società ha anche affermato di essere riuscita a isolare e disconnettere i sistemi interessati non appena rilevato l’attacco in corso. Non ha però voluto specificare di quale genere di minaccia si sia trattato.
A proposito di Blackcat
Blackcat, indicato anche come Noberus e ALPHV, è un gruppo di hacker specializzato nel furto di dati sensibili a danno delle istituzioni. Una volta condotto a termine l’attacco, il suo modus operandi prevede la pubblicazione di quelli ricavati in caso di mancato pagamento di un riscatto da parte delle aziende attaccate.
Ad affermarlo è un comunicato emanato nel passato dicembre dal Department of Justice (DoJ) degli Stati Uniti. Il gruppo è già tristemente noto per una lunga serie di attacchi che hanno danneggiato le reti informatiche oggetto dei raid in ogni parte del globo. Attacchi che dal punto di vista finanziario sono costati centinaia di milioni di dollari.
Si tratta quindi di una minaccia estremamente seria, anche perché non si fa eccessivi scrupoli relativi ai documenti di cui riesce ad entrare in possesso. Nel caso di un rifiuto da parte degli interessati, passa direttamente alla pubblicazione del tutto.
Chi è Change Healthcare
Change Healthcare è un’azienda specializzata nell’offerta di strumenti per la gestione del ciclo dei pagamenti e delle entrate, in modo da riuscire a facilitare i pagamenti dei rimborsi. Nel corso del 2022 si è fusa con Optum, un fornitore di servizi sanitari che serve oltre 100 milioni di pazienti negli Stati Uniti. Gravita nell’orbita di UnitedHealth, la più grande azienda sanitaria del Paese per capitalizzazione di mercato.
L’accaduto è stato commentato da Brett Callow, un analista delle minacce presso la società di sicurezza informatica Emsisoft, il quale ha soffermato la sua attenzione sul messaggio postato e poi rimosso da Blackcat sul Dark Web. Da lui però intercettato e condiviso con uno screenshot su X.
Secondo l’esperto i gruppi di ransomware sarebbero soliti pubblicare spesso post di analogo tenore con un preciso intento: portare le vittime al tavolo delle trattative. Inoltre, esagererebbero sulla quantità di dati sottratti per avere maggior peso negoziale.
Interpellato da CNBC ha poi aggiunto che i criminali informatici non diranno mai la verità sui loro attacchi. Peraltro, per poter capire l’importanza delle informazioni sottratte possono volerci intere settimane. Di conseguenza quanto affermato sui sei terabyte di dati ora a sua disposizione andrebbe preso con beneficio d’inventario.
La pericolosità del ransomware nel settore sanitario
Occorre sottolineare come il ransomware sia particolarmente pericoloso se condotto nel settore sanitario. In questo caso, infatti, può addirittura provocare danni alla salute dei pazienti. Il caso limite in tal senso è rappresentato da quanto accaduto nell’ottobre del 2020, in Germania, con la morte di una donna nel corso del trasporto ad un altro ospedale reso necessario dal blocco dei sistemi informatici della struttura di cui era ricoverata.
A ricordarne la pericolosità è stato in questa occasione John Riggi, consulente nazionale per la sicurezza informatica e i rischi presso l’American Hospital Association. Una volta spenti i sistemi, le tecnologie diagnostiche possono andare offline. Costringendo le ambulanze che stanno trasportando i pazienti a deviare in molti casi, ritardando l’erogazione di cure salvavita.
L’attacco a Change Healthcare, però, si presenta come un vero e proprio salto di qualità. A seguito del raid i sistemi dell’azienda sono rimasti inattivi per ben nove giorni e non si sa ancora quando potranno tornare in funzione. Tanto da spingere Riggi ad affermare: “In definitiva, questo non è stato un attacco solo contro l’azienda, ma a danno dell’intero settore sanitario”.