Спустя год после атаки вымогателей на гиганта медицинского страхования UnitedHealth Group мы решили собрать всю публично доступную информацию о самом инциденте и его последствиях.
Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах.
К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
Собственно, Change Healthcare и : 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу . В UnitedHealth Group даже создали , на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
По словам Уитти, атака началась 12 февраля. Тогда злоумышленники с помощью скомпрометированных данных учетной записи получили доступ к порталу Citrix платформы Change Healthcare, используемому для удаленного подключения к рабочему столу. В теории тут бы их должна была остановить двухфакторная аутентификация, однако она не была включена — поэтому для успешного входа достаточно было лишь логина и пароля.
После того как атакующие получили начальный доступ к инфраструктуре компании, они начали продвигаться по внутренним системам и собирать информацию. Очевидно, за последующие девять дней злоумышленники собрали достаточное количество ценных данных. Во всяком случае, 21 февраля они привели в действие шифровальщик, который начал шифровать системы Change Healthcare.
В этой ситуации в UnitedHealth было принято решение полностью отключить дата-центры Change Healthcare от сети, чтобы изолировать инцидент и предотвратить дальнейшее распространение шифровальщика.
С одной стороны, по словам Уитти, это действительно помогло не допустить заражения систем Optum, UnitedHealthcare, UnitedHealth Group и каких-либо сторонних организаций. С другой стороны, полный выход из строя одной из ключевых цифровых платформ имел разрушительные последствия как для бизнеса UnitedHealth Group, так и в целом для системы здравоохранения США.
Таким образом, причиной самого масштабного ransomware-инцидента 2024 года по сути стало отсутствие двухфакторной аутентификации на портале для удаленного доступа к рабочему столу — то есть как раз в том месте, где ее уж точно следовало бы включить. Как сенатор от Орегона Рон Уайден: «Эту хакерскую атаку можно было бы остановить с помощью знаний из ознакомительной лекции по кибербезопасности».
В марте 2024 года Компании UnitedHealth Group пришлось в размере $22 000 000. Однако история на этом не закончилась: после получения выкупа злоумышленники из ALPHV сделали вид, что их инфраструктуру конфисковало ФБР. Судя по всему, таким образом они пытались одного из своих подельников, забрав себе все деньги и скрывшись в тумане.
Упомянутый подельник заявил, что ALPHV с ним не поделились, и через некоторое время скооперировался с другой ransomware-группировкой, RansomHub. В апреле 2024 года эти злоумышленники опубликовали часть похищенных данных и начали .
Пост группировки RansomHub с требованием повторного выкупа у UnitedHealth Group
Не до конца понятно, заплатили ли в UnitedHealth второй выкуп (официального подтверждения этому не было). Однако объявление с требованием выкупа исчезло с сайта RansomHub, а дальнейших сливов похищенных у компании данных более не было замечено. Поэтому можно предположить, что компания все-таки заплатила дважды. Это тем более вероятно, что суммы выкупа совершенно теряются на фоне масштабных финансовых последствий, который атака имела для UnitedHealth Group.
Как показала практика, изначальные оценки были чрезмерно оптимистичными: цифры прогнозируемого годового ущерба росли от квартала к кварталу, сначала поднявшись до , а потом и до .
По итогам же финансового года, опубликованным UnitedHealth Group уже в январе 2025-го, . И хотя для 2024 года это уже окончательная цифра, полная оценка ущерба, вероятно, может еще ощутимо подрасти, ведь компания продолжает иметь дело с последствиями атаки.
Достаточно долго после атаки не было официальной оценки, данные какого количества человек могли попасть в руки злоумышленников. Только через 8 месяцев после инцидента, 24 октября 2024 года, в UnitedHealth Group наконец-то это . Цифра получилась впечатляющей: 100 000 000 человек, то есть почти треть населения США.
Однако время показало, что оценка объема утечки была столь же оптимистичной, что и первоначальные прогнозы финансового ущерба. Еще три месяца спустя, в конце января 2025 года, UnitedHealth Group опубликовала дополненные данные: по в ходе взлома были затронуты данные 190 000 000 человек.
Конечно же, двухфакторная аутентификация — это необходимая, но не достаточная мера для защиты против вымогателей. Оборона корпоративной инфраструктуры от атак шифровальщиков должна быть комплексной. Вот еще несколько советов:
Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах.
К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
Ransomware-атака на UnitedHealth Group
Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
Собственно, Change Healthcare и : 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу . В UnitedHealth Group даже создали , на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
Как происходила атака на UnitedHealth Group
Через несколько месяцев после инцидента, 1 мая, генерального директора UnitedHealth Group Эндрю Уитти вызвали дать показания в Конгрессе США. Из этих широкая публика наконец-то смогла получить информацию о том, как происходила атака на компанию.По словам Уитти, атака началась 12 февраля. Тогда злоумышленники с помощью скомпрометированных данных учетной записи получили доступ к порталу Citrix платформы Change Healthcare, используемому для удаленного подключения к рабочему столу. В теории тут бы их должна была остановить двухфакторная аутентификация, однако она не была включена — поэтому для успешного входа достаточно было лишь логина и пароля.
После того как атакующие получили начальный доступ к инфраструктуре компании, они начали продвигаться по внутренним системам и собирать информацию. Очевидно, за последующие девять дней злоумышленники собрали достаточное количество ценных данных. Во всяком случае, 21 февраля они привели в действие шифровальщик, который начал шифровать системы Change Healthcare.
В этой ситуации в UnitedHealth было принято решение полностью отключить дата-центры Change Healthcare от сети, чтобы изолировать инцидент и предотвратить дальнейшее распространение шифровальщика.
С одной стороны, по словам Уитти, это действительно помогло не допустить заражения систем Optum, UnitedHealthcare, UnitedHealth Group и каких-либо сторонних организаций. С другой стороны, полный выход из строя одной из ключевых цифровых платформ имел разрушительные последствия как для бизнеса UnitedHealth Group, так и в целом для системы здравоохранения США.
Таким образом, причиной самого масштабного ransomware-инцидента 2024 года по сути стало отсутствие двухфакторной аутентификации на портале для удаленного доступа к рабочему столу — то есть как раз в том месте, где ее уж точно следовало бы включить. Как сенатор от Орегона Рон Уайден: «Эту хакерскую атаку можно было бы остановить с помощью знаний из ознакомительной лекции по кибербезопасности».
Выплата UnitedHealth Group выкупа вымогателям
Спустя несколько дней после кибератаки хакерская группировка BlackCat/ALPHV . Как заявили злоумышленники, в ходе атаки им удалось похитить 6 Тбайт конфиденциальных данных, среди которых были медицинские записи, финансовые документы, персональные данные гражданских лиц и военнослужащих армии и флота США, а также множество другой конфиденциальной информации.В марте 2024 года Компании UnitedHealth Group пришлось в размере $22 000 000. Однако история на этом не закончилась: после получения выкупа злоумышленники из ALPHV сделали вид, что их инфраструктуру конфисковало ФБР. Судя по всему, таким образом они пытались одного из своих подельников, забрав себе все деньги и скрывшись в тумане.
Упомянутый подельник заявил, что ALPHV с ним не поделились, и через некоторое время скооперировался с другой ransomware-группировкой, RansomHub. В апреле 2024 года эти злоумышленники опубликовали часть похищенных данных и начали .
Пост группировки RansomHub с требованием повторного выкупа у UnitedHealth Group
Не до конца понятно, заплатили ли в UnitedHealth второй выкуп (официального подтверждения этому не было). Однако объявление с требованием выкупа исчезло с сайта RansomHub, а дальнейших сливов похищенных у компании данных более не было замечено. Поэтому можно предположить, что компания все-таки заплатила дважды. Это тем более вероятно, что суммы выкупа совершенно теряются на фоне масштабных финансовых последствий, который атака имела для UnitedHealth Group.
Последствия ransomware-атаки на UnitedHealth Group
Только по итогам первого квартала 2024 года сумма ущерба UnitedHealth Group от кибератаки . Также в своем финансовом отчете за первый квартал компания прогнозировала, что годовой ущерб от взлома может составить $1,35–1,6 миллиарда.Как показала практика, изначальные оценки были чрезмерно оптимистичными: цифры прогнозируемого годового ущерба росли от квартала к кварталу, сначала поднявшись до , а потом и до .
По итогам же финансового года, опубликованным UnitedHealth Group уже в январе 2025-го, . И хотя для 2024 года это уже окончательная цифра, полная оценка ущерба, вероятно, может еще ощутимо подрасти, ведь компания продолжает иметь дело с последствиями атаки.
Достаточно долго после атаки не было официальной оценки, данные какого количества человек могли попасть в руки злоумышленников. Только через 8 месяцев после инцидента, 24 октября 2024 года, в UnitedHealth Group наконец-то это . Цифра получилась впечатляющей: 100 000 000 человек, то есть почти треть населения США.
Однако время показало, что оценка объема утечки была столь же оптимистичной, что и первоначальные прогнозы финансового ущерба. Еще три месяца спустя, в конце января 2025 года, UnitedHealth Group опубликовала дополненные данные: по в ходе взлома были затронуты данные 190 000 000 человек.
Как защититься от атак вымогателей
Конечно же, самый очевидный вывод, который можно сделать из истории взлома UnitedHealth Group, — это тот, что ни в коем случае нельзя пренебрегать использованием в любых публично доступных сервисах. Иначе один перехваченный пароль может стать причиной огромных проблем и многомиллиардных убытков.Конечно же, двухфакторная аутентификация — это необходимая, но не достаточная мера для защиты против вымогателей. Оборона корпоративной инфраструктуры от атак шифровальщиков должна быть комплексной. Вот еще несколько советов:
- Повышайте осведомленность сотрудников о кибербезопасности с помощью специализированных курсов.
- Применяйте сегментацию сети, правильные политики хранения данных и доступа сотрудников к ним. В идеале следует взять на вооружение концепцию «нулевого доверия» — Zero Trust.
- Регулярно проводите резервное копирование данных и храните бэкапы в изолированных от сети хранилищах.
- Вовремя обновляйте программное обеспечение, в особенности это касается публично доступных частей инфраструктуры.
- Используйте надежную защиту на всех корпоративных устройствах.
- Отслеживайте подозрительную активность в сети организации с помощью решения класса XDR.
- Используйте услуги внешнего сервиса для поиска угроз и реагирования на них в том случае, если для этого недостаточно ресурсов или квалификации внутренней ИБ-службы.
