История одного инцидента: ransomware-атака на UnitedHealth

Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.

Ransomware-атака на UnitedHealth Group

Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.

В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.

Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.

Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.

Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».

Как происходила атака на UnitedHealth Group

Через несколько месяцев после инцидента, 1 мая, генерального директора UnitedHealth Group Эндрю Уитти вызвали дать показания в Конгрессе США. Из этих показаний широкая публика наконец-то смогла получить информацию о том, как происходила атака на компанию.

По словам Уитти, атака началась 12 февраля. Тогда злоумышленники с помощью скомпрометированных данных учетной записи получили доступ к порталу Citrix платформы Change Healthcare, используемому для удаленного подключения к рабочему столу. В теории тут бы их должна была остановить двухфакторная аутентификация, однако она не была включена — поэтому для успешного входа достаточно было лишь логина и пароля.

После того как атакующие получили начальный доступ к инфраструктуре компании, они начали продвигаться по внутренним системам и собирать информацию. Очевидно, за последующие девять дней злоумышленники собрали достаточное количество ценных данных. Во всяком случае, 21 февраля они привели в действие шифровальщик, который начал шифровать системы Change Healthcare.

В этой ситуации в UnitedHealth было принято решение полностью отключить дата-центры Change Healthcare от сети, чтобы изолировать инцидент и предотвратить дальнейшее распространение шифровальщика.

С одной стороны, по словам Уитти, это действительно помогло не допустить заражения систем Optum, UnitedHealthcare, UnitedHealth Group и каких-либо сторонних организаций. С другой стороны, полный выход из строя одной из ключевых цифровых платформ имел разрушительные последствия как для бизнеса UnitedHealth Group, так и в целом для системы здравоохранения США.

Таким образом, причиной самого масштабного ransomware-инцидента 2024 года по сути стало отсутствие двухфакторной аутентификации на портале для удаленного доступа к рабочему столу — то есть как раз в том месте, где ее уж точно следовало бы включить. Как подытожил сенатор от Орегона Рон Уайден: «Эту хакерскую атаку можно было бы остановить с помощью знаний из ознакомительной лекции по кибербезопасности».

Выплата UnitedHealth Group выкупа вымогателям

Спустя несколько дней после кибератаки хакерская группировка BlackCat/ALPHV взяла на себя ответственность за взлом. Как заявили злоумышленники, в ходе атаки им удалось похитить 6 Тбайт конфиденциальных данных, среди которых были медицинские записи, финансовые документы, персональные данные гражданских лиц и военнослужащих армии и флота США, а также множество другой конфиденциальной информации.

В марте 2024 года Компании UnitedHealth Group пришлось выплатить вымогателям выкуп в размере $22 000 000. Однако история на этом не закончилась: после получения выкупа злоумышленники из ALPHV сделали вид, что их инфраструктуру снова конфисковало ФБР. Судя по всему, таким образом они пытались обмануть одного из своих подельников, забрав себе все деньги и скрывшись в тумане.

Упомянутый подельник заявил, что ALPHV с ним не поделились, и через некоторое время скооперировался с другой ransomware-группировкой, RansomHub. В апреле 2024 года эти злоумышленники опубликовали часть похищенных данных и начали повторно вымогать у UnitedHealth деньги.

Пост группировки RansomHub с требованием повторного выкупа у UnitedHealth Group. Источник

Не до конца понятно, заплатили ли в UnitedHealth второй выкуп (официального подтверждения этому не было). Однако объявление с требованием выкупа исчезло с сайта RansomHub, а дальнейших сливов похищенных у компании данных более не было замечено. Поэтому можно предположить, что компания все-таки заплатила дважды. Это тем более вероятно, что суммы выкупа совершенно теряются на фоне масштабных финансовых последствий, который атака имела для UnitedHealth Group.

Последствия ransomware-атаки на UnitedHealth Group

Только по итогам первого квартала 2024 года сумма ущерба UnitedHealth Group от кибератаки составила $872 миллиона. Также в своем финансовом отчете за первый квартал компания прогнозировала, что годовой ущерб от взлома может составить $1,35–1,6 миллиарда.

Как показала практика, изначальные оценки были чрезмерно оптимистичными: цифры прогнозируемого годового ущерба росли от квартала к кварталу, сначала поднявшись до $2,3–2,45 миллиарда, а потом и до $2,87 миллиарда.

По итогам же финансового года, опубликованным UnitedHealth Group уже в январе 2025-го, суммарный годовой ущерб от инцидента составил $3,09 миллиарда. И хотя для 2024 года это уже окончательная цифра, полная оценка ущерба, вероятно, может еще ощутимо подрасти, ведь компания продолжает иметь дело с последствиями атаки.

Достаточно долго после атаки не было официальной оценки, данные какого количества человек могли попасть в руки злоумышленников. Только через 8 месяцев после инцидента, 24 октября 2024 года, в UnitedHealth Group наконец-то это подсчитали. Цифра получилась впечатляющей: 100 000 000 человек, то есть почти треть населения США.

Однако время показало, что оценка объема утечки была столь же оптимистичной, что и первоначальные прогнозы финансового ущерба. Еще три месяца спустя, в конце января 2025 года, UnitedHealth Group опубликовала дополненные данные: по новой оценке в ходе взлома были затронуты данные 190 000 000 человек.

Как защититься от атак вымогателей

Конечно же, самый очевидный вывод, который можно сделать из истории взлома UnitedHealth Group, — это тот, что ни в коем случае нельзя пренебрегать использованием двухфакторной аутентификации в любых публично доступных сервисах. Иначе один перехваченный пароль может стать причиной огромных проблем и многомиллиардных убытков.

Конечно же, двухфакторная аутентификация — это необходимая, но не достаточная мера для защиты против вымогателей. Оборона корпоративной инфраструктуры от атак шифровальщиков должна быть комплексной. Вот еще несколько советов:

• Повышайте осведомленность сотрудников о кибербезопасности с помощью специализированных курсов — например, их легко и недорого можно организовать с помощью нашей автоматизированной образовательной платформы Kaspersky Automated Security Awareness Platform.
• Применяйте сегментацию сети, правильные политики хранения данных и доступа сотрудников к ним. В идеале следует взять на вооружение концепцию «нулевого доверия» — Zero Trust.
• Регулярно проводите резервное копирование данных и храните бэкапы в изолированных от сети хранилищах.
• Вовремя обновляйте программное обеспечение, в особенности это касается публично доступных частей инфраструктуры.
• Используйте надежную защиту на всех корпоративных устройствах.
• Отслеживайте подозрительную активность в сети организации с помощью решения класса XDR.
• Используйте услуги внешнего сервиса для поиска угроз и реагирования на них в том случае, если для этого недостаточно ресурсов или квалификации внутренней ИБ-службы.