Change Healthcare steht vor einem neuen Cybersicherheits-Albtraum, nachdem eine Ransomware-Gruppe damit begonnen hat, angeblich vertrauliche medizinische und finanzielle Unterlagen der Amerikaner zu verkaufen, die dem Gesundheitsriesen gestohlen wurden.
„Für die meisten US-Bürger da draußen, die an uns zweifeln: Wir haben wahrscheinlich Ihre persönlichen Daten“, sagte die RansomHub-Bande in einer Ankündigung von WIRED.
Zu den gestohlenen Daten gehören laut Screenshots angeblich Kranken- und Zahnakten, Zahlungsansprüche, Versicherungsdetails und persönliche Informationen wie Sozialversicherungsnummern und E-Mail-Adressen. RansomHub behauptete, es verfüge über Gesundheitsdaten über aktives US-Militärpersonal.
Der weit verbreitete Diebstahl und Verkauf sensibler Gesundheitsdaten stellt eine dramatische neue Form der Folgen des Cyberangriffs auf Change Healthcare im Februar dar, der die Zahlungsabwicklung des Unternehmens lahmlegte und das US-amerikanische Gesundheitssystem in eine Krise stürzte, da Krankenhäuser ohne regelmäßige Finanzierung darum kämpften, offen zu bleiben .
Change Healthcare, eine Tochtergesellschaft der UnitedHealth Group, gab zuvor zu, dass eine Ransomware-Bande namens BlackCat oder AlphV in ihre Systeme eingedrungen ist, und teilte WIRED letzte Woche mit, dass sie die Behauptungen von RansomHub über den Besitz der gestohlenen Daten des Unternehmens untersucht. Change Healthcare reagierte nicht sofort auf eine Bitte um Stellungnahme zum angeblichen Verkauf seiner Daten durch die Gruppe.
Die große Vielfalt an Patientendaten, die RansomHub angeblich verkauft, ist ein Beweis für die Rolle von Change Healthcare als wichtiger Vermittler zwischen Versicherern und Gesundheitsdienstleistern, der Zahlungen zwischen beiden Parteien erleichtert und dabei Unmengen sensibler Informationen über Patienten und ihre medizinischen Verfahren sammelt .
Zu den Beispieldatensätzen, die RansomHub veröffentlicht hat, gehören eine Liste offener Ansprüche, die von der EquiClaim-Tochtergesellschaft des Unternehmens bearbeitet werden, einschließlich der Namen von Patienten und Anbietern; eine Krankenhausakte einer 74-jährigen Frau in Tampa, Florida; und Teil eines Datenbankeintrags im Zusammenhang mit der Gesundheitsversorgung von US-Militärangehörigen.
RansomHub sagte, es würde einzelnen Versicherungsgesellschaften, die mit Change Healthcare zusammengearbeitet haben und deren Daten kompromittiert wurden, erlauben, Lösegeld zu zahlen, um den Verkauf ihrer Unterlagen zu verhindern. Es gab an, dass es Daten verkaufte, die mehreren großen Versicherungsunternehmen gehörten.
„Die Verarbeitung sensibler Daten all dieser Unternehmen durch Change Healthcare ist einfach unglaublich“, sagte RansomHub in seiner Ankündigung.
Brett Callow, ein Bedrohungsanalyst bei der Sicherheitsfirma Emsisoft, der Ransomware-Banden genau verfolgt, sagt, dass es beim neuen Verkauf gestohlener Daten wahrscheinlich „weniger um den tatsächlichen Verkauf der Daten“ als vielmehr darum ging, das Gesundheitswesen zu verändern – und die Partnerunternehmen, deren Aufzeichnungen es nicht geschafft hat schützen – „unter zusätzlichem Zahlungsdruck.“
Change Healthcare hat offenbar ein Lösegeld in Höhe von 22 Millionen US-Dollar an AlphV gezahlt, um zu verhindern, dass das Unternehmen Terabytes gestohlener Daten preisgibt.
Zwei Monate nach Beginn der Krise, die durch den Ransomware-Angriff ausgelöst wurde, musste Change Healthcare steigende Verluste hinnehmen. Das berichtete das Unternehmen kürzlich 872 Millionen US-Dollar ausgeben Reaktion auf den Vorfall vom 31. März.
Gleichzeitig steht Change unter zunehmendem Druck von Gesetzgebern und Aufsichtsbehörden, seine Cybersicherheitslücken und die Schritte, die das Unternehmen unternimmt, um einen weiteren Hack zu verhindern, zu erklären.
Ein Unterausschuss des Energie- und Handelsausschusses des Repräsentantenhauses hielt am Dienstag mit wichtigen Gesetzgebern eine Anhörung zur Cyber-Haltung des Gesundheitssektors ab Sprichwort sie waren enttäuscht dass die UnitedHealth Group es ablehnte, eine Führungskraft als Aussage zur Verfügung zu stellen. Und das Ministerium für Gesundheit und menschliche Dienste ist es Untersuchung, ob Change Healthcare gescheitert ist Um Hacker daran zu hindern, auf seine Daten zuzugreifen und diese zu stehlen, verstieß er gegen die Datenschutzbestimmungen des Bundes.