Geng ransomware yang meretas raksasa teknologi kesehatan AS, Change Healthcare, menggunakan serangkaian kredensial yang dicuri untuk mengakses sistem perusahaan dari jarak jauh yang tidak dilindungi oleh autentikasi multi-faktor, menurut kepala eksekutif perusahaan induknya, UnitedHealth.
CEO UnitedHealth Andrew Witty memberikan kesaksian tertulis menjelang sidang subkomite DPR pada hari Rabu mengenai serangan ransomware pada bulan Februari yang menyebabkan gangguan selama berbulan-bulan di seluruh sistem layanan kesehatan AS.
Ini adalah pertama kalinya raksasa asuransi kesehatan ini memberikan penilaian tentang bagaimana peretas membobol sistem Change Healthcare, di mana sejumlah besar data kesehatan diambil dari sistemnya. UnitedHealth mengatakan pekan lalu bahwa para peretas mencuri data kesehatan “sebagian besar orang di Amerika.”
Change Healthcare memproses asuransi kesehatan dan klaim penagihan untuk sekitar setengah dari seluruh penduduk AS.
Menurut kesaksian Witty, para peretas kriminal “menggunakan kredensial yang disusupi untuk mengakses portal Change Healthcare Citrix dari jarak jauh.” Organisasi seperti Change menggunakan perangkat lunak Citrix untuk memungkinkan karyawan mengakses komputer kerja mereka dari jarak jauh di jaringan internal mereka. Witty tidak merinci bagaimana kredensial tersebut dicuri.
Namun, Witty mengatakan portal tersebut “tidak memiliki otentikasi multi-faktor,” yang merupakan fitur keamanan dasar yang mencegah penyalahgunaan kata sandi yang dicuri dengan meminta kode kedua dikirim ke perangkat tepercaya karyawan, seperti telepon mereka. Tidak diketahui mengapa Change tidak menyiapkan otentikasi multi-faktor pada sistem ini, namun hal ini kemungkinan akan menjadi fokus bagi penyelidik yang mencoba memahami potensi kekurangan dalam sistem perusahaan asuransi.
“Setelah pelaku ancaman mendapatkan akses, mereka bergerak ke samping dalam sistem dengan cara yang lebih canggih dan mengambil data,” kata Witty.
Witty mengatakan para peretas menyebarkan ransomware sembilan hari kemudian pada tanggal 21 Februari, yang menyebabkan raksasa kesehatan tersebut menutup jaringannya untuk membendung pelanggaran tersebut.
UnitedHealth mengkonfirmasi pekan lalu bahwa perusahaan tersebut membayar uang tebusan kepada para peretas yang mengaku bertanggung jawab atas serangan siber dan pencurian terabyte data yang dicuri. Para peretas, yang dikenal sebagai RansomHub, adalah geng kedua yang mengklaim pencurian data setelah memposting sebagian data yang dicuri ke web gelap dan meminta uang tebusan agar tidak menjual informasi tersebut.
UnitedHealth awal bulan ini mengatakan serangan ransomware menyebabkan kerugian lebih dari $870 juta pada kuartal pertama, di mana perusahaan menghasilkan pendapatan hampir $100 miliar.
