Getty-afbeeldingen
Negen dagen nadat een Russischtalig ransomware-syndicaat Amerika’s grootste betalingsverwerker in de gezondheidszorg had uitgeschakeld, hadden apotheken, zorgverleners en patiënten nog steeds moeite met het invullen van recepten, waarvan er vele levensreddend waren.
Donderdag beschuldigde UnitedHealth Group de beruchte ransomwarebende, ook bekend als AlphV en Black Cat, van het hacken van zijn dochteronderneming Optum. Optum biedt een landelijk netwerk genaamd Change Healthcare, waarmee zorgverleners klantbetalingen en verzekeringsclaims kunnen beheren. Omdat apotheken niet gemakkelijk konden berekenen welke kosten door verzekeringsmaatschappijen werden gedekt, moesten velen hun toevlucht nemen tot alternatieve diensten of offline methoden.
Het ernstigste incident in zijn soort
Optum maakte op 21 februari voor het eerst bekend dat zijn diensten niet beschikbaar waren vanwege “cyberveiligheidsproblemen”. Sindsdien wordt zijn dienst belemmerd. Kort voordat deze aankondiging op Ars werd gedaan, zei Optum dat het de diensten van Change Healthcare had hersteld.
“In samenwerking met technologie- en zakenpartners hebben we met succes tests afgerond met leveranciers en meerdere apotheekpartners voor de soorten transacties die hierdoor getroffen zijn”, aldus de update. “Als gevolg hiervan hebben we deze service voor alle klanten mogelijk gemaakt vanaf vrijdag 1 maart 2024, 13:00 uur CT.”
AlphV is een van de vele syndicaten die opereren op basis van een ransomware-as-a-service-model, wat betekent dat aangesloten bedrijven het daadwerkelijke hacken van slachtoffers uitvoeren en vervolgens de AlphV-ransomware en -infrastructuur gebruiken om bestanden te versleutelen en te onderhandelen over losgeld. De partijen delen vervolgens de opbrengst.
In december maakten de FBI en haar equivalenten in partnerlanden bekend dat ze een groot deel van de infrastructuur van AlphV in beslag hadden genomen met als doel de groep te ontwrichten. AlphV verklaarde onmiddellijk dat hij zijn locatie had ingetrokken, wat leidde tot een impasse tussen de politie en de groep. De verlamming van Change Healthcare is een duidelijk teken dat AlphV een bedreiging blijft vormen voor kritieke delen van de Amerikaanse infrastructuur.
“De cyberaanval op Change Healthcare die op 21 februari begon, is het ernstigste incident in zijn soort tegen een Amerikaanse gezondheidszorgorganisatie”, zegt Rick Pollack, president en CEO van de American Hospital Association. Op basis van gegevens van Change Healthcare zei Pollack dat de dienst 15 miljard transacties verwerkt, waaronder controles op de geschiktheid, apotheekoperaties en claims en betalingsoverdrachten. “Deze zijn de afgelopen dagen allemaal in verschillende mate verstoord en de volledige impact is nog onbekend.”
Optum schatte dat vanaf maandag meer dan 90 procent van de ongeveer 70.000 Amerikaanse apotheken de manier waarop ze elektronische claims verwerken, had veranderd als gevolg van de storing. Het bedrijf zei verder dat slechts een klein aantal patiënten geen recepten kan krijgen.
De omvang en duur van de uitval van Change Healthcare onderstreept de verwoestende gevolgen van ransomware voor kritieke infrastructuur. Drie jaar geleden veroorzaakten leden die verbonden waren met een andere ransomwaregroep, bekend als Darkside, een vijfdaagse sluiting van de Colonial Pipeline, die ongeveer 45 procent van de aardolieproducten van de oostkust leverde, waaronder benzine, dieselbrandstof en vliegtuigbrandstof. De storing heeft brandstoftekorten veroorzaakt, waardoor luchtvaartmaatschappijen, consumenten en benzinestations in de problemen zijn gekomen.
Een aantal ransomwaregroepen hebben ook hele ziekenhuisnetwerken platgelegd tijdens storingen die in sommige gevallen de patiëntenzorg in gevaar brachten.
AlphV leverde een belangrijke bijdrage aan de ransomware-dreiging. De FBI zei in december dat de groep ruim 300 miljoen dollar aan losgeld had ingezameld. Een van de bekendere slachtoffers van de AlphV-ransomware waren de casino’s van Caesars Entertainment en MGM, die veel casino’s in Las Vegas sloten. Een groep, voornamelijk tieners, wordt ervan verdacht de inbreuk te hebben georkestreerd.