UnitedHealth confirma que pagó a una banda de ransomware para detener la fuga de datos

UnitedHealth Group ha confirmado que ha pagado un rescate a los ciberdelincuentes para proteger los datos confidenciales robados en el ataque del ransomware Optum a finales de febrero.

El ataque provocó una interrupción que repercutió en el pago de Change Healthcare, afectando a una serie de servicios críticos utilizados por los proveedores sanitarios y las farmacias de todo Estados Unidos, como el procesamiento de pagos, la emisión de recetas y las reclamaciones de seguros.

Según la organización, el ciberataque causó daños financieros por valor de 872 millones de dólares.

La banda de ransomware BlackCat/ALPHV reivindicó la autoría del ataque, afirmando haber robado 6 TB de datos confidenciales de pacientes. A principios de marzo, BlackCat llevó a cabo una estafa de salida tras obtener supuestamente 22 millones de dólares en rescates de UnitedHealth.

En aquel momento, uno de los afiliados a la banda, conocido como «Notchy», afirmó que tenía los datos de UnitedHealth porque había dirigido el ataque y BlackCat le había estafado con la cantidad del rescate.

La transacción era visible en la blockchain de Bitcoin y los investigadores confirmaron que había llegado a una cartera utilizada por los hackers de BlackCat.

Una semana más tarde, el gobierno estadounidense inició una investigación para determinar si se habían robado datos sanitarios en el ataque del ransomware Optum.

A mediados de abril, el grupo de extorsión RansomHub aumentó aún más la presión sobre UnitedHealth al empezar a publicar lo que afirma que son datos corporativos y de pacientes robados en el ataque.

Los datos de pacientes de UnitedHealth llegaron a RansomHub después de que «Notchy» se asociara con ellos para extorsionar de nuevo a la empresa.

Datos robados, rescate pagado

En un comunicado, CiberNovedades confirmó que había pagado un rescate para evitar que los datos de los pacientes fueran vendidos a ciberdelincuentes o divulgados públicamente.

«Se pagó un rescate como parte del compromiso de la empresa de hacer todo lo posible para proteger los datos de los pacientes frente a su divulgación» – UnitedHealth Group

CiberNovedades ha comprobado el sitio web de filtración de datos RansomHub y puede confirmar que el actor de la amenaza ha eliminado UnitedHealth de su lista de víctimas.

La eliminación de UnitedHealth del sitio RansomHub podría indicar que la confirmación de hoy se refiere a un pago a la nueva banda de ransomware en lugar del supuesto pago de 22 millones de dólares a BlackCat en marzo.

Ayer, UnitedHealth publicó una actualización en su sitio web anunciando su apoyo a aquellos cuyos datos habían sido expuestos por el ataque de ransomware de febrero, confirmando oficialmente el incidente de violación de datos.

«Basándose en un muestreo inicial de los datos seleccionados, la compañía encontró archivos que contenían información de salud protegida (PHI) o información de identificación personal (PII), lo que podría afectar a una proporción sustancial de personas en Estados Unidos», se lee en el anuncio.

«Hasta la fecha, la empresa no ha observado ninguna exfiltración de documentos como historiales médicos o historiales médicos completos entre los datos», afirma la empresa.

La compañía tranquiliza a los pacientes asegurando que sólo se han publicado en la dark web 22 capturas de pantalla de archivos robados, algunos de los cuales contienen información de identificación personal, y que no se ha publicado «por el momento» ningún otro dato exfiltrado durante el ataque.

La organización de seguros y servicios sanitarios ha prometido enviar notificaciones personalizadas tan pronto como haya completado su investigación sobre el tipo de información que se ha visto comprometida.

Como parte de los esfuerzos de la organización para ayudar a los afectados, también se ha creado un centro de atención telefónica que ofrecerá dos años de servicios gratuitos de control de crédito y protección frente al robo de identidad.

En la actualidad, el 99% de los servicios afectados están operativos, las reclamaciones médicas se tramitan a niveles casi normales y la tramitación de pagos se sitúa en torno al 86%.