Change Healthcare victime d'une intrusion via un portail Citrix sans MFA
La déclaration d'ouverture du PDG de UnitedHealth Group, Andrew Witty, lors d'une audition au Congrès américain, a permis d'en savoir plus sur l'attaque avec ransomware dont a été victime Change Healthcare.
UnitedHealth Group a confirmé que le groupe BlackCat/Alphv ransomware a pénétré dans la système d'information de Change Healthcare en février en utilisant des informations d'identification compromises pour un portail d'accès à distance Citrix pour lequel l'authentification à facteurs multiples n'était pas activée.
Lundi, une déclaration préparée par Andrew Witty, PDG du UnitedHealth Group, intitulée « Examiner la cyberattaque de Change Healthcare », a été publiée avant l'audition de mercredi de la sous-commission de la commission de l'énergie et du commerce de la Chambre des représentants sur la surveillance et les enquêtes. Andrew Witty a reconfirmé qu'Alphv/BlackCat était à l'origine de l'attaque contre sa filiale technologique Change Healthcare, qui fournit divers services, notamment de gestion financière et administrative, aux établissements médicaux et aux pharmacies.
Le 21 février, Change Healthcare a révélé qu'il subissait des interruptions de réseau qui ont ensuite longuement affecté les patients, les prestataires de soins de santé et les pharmaciens. Depuis, UnitedHealth a confirmé qu'Alphv/BlackCat était à l'origine de l'attaque et que l'entreprise avait payé une rançon. UnitedHealth a également reconnu que des acteurs malveillants avaient obtenu des données sensibles.
La déclaration liminaire d'Andrew Witty lors de l'audition a permis de mieux comprendre la chronologie et le vecteur de l'attaque, même si de nombreuses questions restent en suspens.
« Le 12 février, des criminels ont utilisé des informations d'identification compromises pour accéder à distance à un portail Citrix de Change Healthcare, une application utilisée pour permettre l'accès à distance aux postes de travail. Le portail ne disposait pas d'une authentification multifactorielle (MFA). Une fois l'accès obtenu, l'acteur malveillant s'est déplacé latéralement dans les systèmes de manière plus sophistiquée et a exfiltré des données. Le ransomware a été déployé neuf jours plus tard », a déclaré Andrew Witty dans la déclaration préparée.
Les produits Citrix vulnérables sont depuis un certain temps des cibles populaires pour les attaquants. En novembre, la CISA, le FBI et encore l'Anssi, notamment, ont averti les organisations que le groupe de ransomwares LockBit exploitait largement une vulnérabilité critique de Citrix NetScaler ADC et NetScaler Gateway, référencée CVE-2023-4966 et baptisée « Citrix Bleed », qui a été divulguée et corrigée en octobre.
L'avis établissait un lien entre une attaque menée en octobre contre le géant de l'aviation Boeing et Citrix Bleed. Boeing a confirmé que des acteurs malveillants avaient exploité CVE-2023-4966 pour obtenir un accès initial à ses activités de pièces détachées et de distribution.
Puis, en janvier, Citrix a révélé que deux nouvelles vulnérabilités inédites, dites 0day, dans les mêmes produits faisaient l'objet d'une attaque, sans que l'on sache à qui elles étaient attribuées. En outre, l'assureur Coalition a publié en février son « Cyber Threat Index 2024 », qui mettait en évidence les conséquences considérables pour les victimes de Citrix Bleed.
Cependant, l'attaque contre Change Healthcare n'a apparemment pas impliqué l'exploitation des failles de Citrix, car les attaquants ont simplement utilisé des informations d'identification compromises pour prendre pied dans le réseau de l'entreprise.
La MFA est une mesure de sécurité standard que l'industrie et les agences gouvernementales préconisent depuis des années pour atténuer la menace de compromission des informations d'identification. Plusieurs attaques récentes et très médiatisées ont vu des acteurs de la menace cibler et compromettre des services et des actifs dépourvus de protection MFA. Par exemple, une enquête sur l'attaque Midnight Blizzard contre Microsoft en juillet a révélé que la protection MFA n'était pas activée dans le tenant cloud compromis.
Change Healthcare a payé la rançon
Une fois que les acteurs Alphv/BlackCat ont accédé au portail Citrix, ils se sont déplacés latéralement et ont déployé le ransomware neuf jours plus tard, a confirmé Andrew Witty. Le ransomware a été très perturbateur, mais le chiffrement a été limité au réseau Change Healthcare, car l'entreprise a fermé ses centres de calcul pour empêcher la propagation du ransomware ; aucune autre entité du UnitedHealth Group n'a été touchée. Andrew Witty a souligné que le ransomware a empêché l'accès aux systèmes et aux environnements informatiques de Change.
« En tant que directeur général, la décision de payer une rançon m'appartenait. C'est l'une des décisions les plus difficiles que j'aie jamais eues à prendre », peut-on lire dans le témoignage. « Et je ne la souhaiterais à personne ».
Andrew Witty n'a pas révélé le montant payé par son entreprise. Wired a rapporté pour la première fois en mars qu'un portefeuille de crypto-monnaies contrôlé par Alphv/BlackCat avait reçu un paiement de 22 millions de dollars ; UnitedHealth Group a confirmé au début du mois qu'il avait effectué un paiement au gang. Bien que l'entreprise n'ait pas précisé le montant de la rançon, UnitedHealth Group a indiqué dans ses résultats du premier trimestre que l'attaque avait coûté 872 millions de dollars à l'entreprise.
Dans son témoignage, Andrew Witty a révélé que l'enquête était en cours et que l'ampleur de la violation de données restait inconnue. Change Healthcare possède plus de 89 sites aux États-Unis et dessert plus de 30 000 pharmacies.
« Compte tenu de la nature et de la complexité de l'examen des données, il faudra probablement plusieurs mois d'analyse continue avant de disposer de suffisamment d'informations pour identifier et notifier les clients et les individus concernés, en partie parce que les fichiers contenant ces données ont été compromis lors de la cyberattaque. Nos équipes, ainsi que d'éminents experts externes du secteur, continuent de surveiller l'internet et le dark web pour déterminer si des données ont été publiées », peut-on lire dans le témoignage d'Andrew Witty.
Outre les forces de l'ordre et les équipes de réponse aux incidents de Mandiant et de Palo Alto Networks, UnitedHealth Group a fait appel aux services de Google, Microsoft, Cisco et Amazon le 21 février lorsqu'il a découvert l'attaque, a indiqué Andrew Witty.