Het datalek bij het Amerikaanse zorgbedrijf Change Healthcare kon plaatsvinden door gestolen inloggegevens voor een Citrix-portaal. Dat zegt Andrew Witty, ceo van moederbedrijf UnitedHealth, in een rechtszaak over het incident.
Change Healthcare verwerkt verzekeringen, facturen en declaraties voor honderdduizenden ziekenhuizen, apotheken en andere zorgorganisaties in de VS. In februari werd het bedrijf het slachtoffer van een ransomwareaanval, met grote gevolgen voor de Amerikaanse gezondheidszorg. UnitedHealth betaalde vervolgens losgeld om te voorkomen dat gestolen patiëntgegevens zouden uitlekken.
Witty vertelt nu in een rechtszaak dat cybercriminelen van de BlackCat-ransomwaregroep al ruim een week in de systemen van Change Healthcare zaten voordat de ransomwareaanval op 21 februari werd uitgevoerd. Aanvallers kregen begin die maand de inloggegevens van een werknemer voor het Citrix-portaal in handen. Dat portaal wordt gebruikt om op afstand te kunnen werken. Op 8 februari detecteerde het threat intelligence-platform dat Change Healthcare gebruikt, dat die inloggegevens via malware gestolen werden, schrijft BleepingComputer.
Witty geeft toe dat het portaal geen tweestapsverificatie vereiste. Met de inloggegevens kon de aanvaller dus binnenkomen. Op 12 februari drong de ransomwaregroep binnen in het Citrix-portaal. Daarna wisten de aanvallers zich door het netwerk heen te bewegen en zowel bedrijfs- als patiëntgegevens te stelen.
Na de aanval werden duizenden laptops vervangen en zijn inloggegevens aangepast. Ook zijn het datacenternetwerk en kerndiensten in een paar weken opnieuw opgebouwd. De aanval heeft UnitedHealth uiteindelijk 872 miljoen dollar gekost.