روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ حدود یک سال پیش، UnitedHealth Group (غول بیمه سلامت در آمریکا) هدف یکی از بزرگترین حملات باجافزاری قرار گرفت. این حمله آنچنان عواقب سخت و گستردهای داشت که جزئیات جدید در مورد آن و پیامدهایش از زمان رخداد تا امروز هنوز در حال ظهور است. به مناسبت سالگرد آن، خلاصه ای از تمام دادههای موجود امروز را گردآوری کردهایم.
حملهی باجافزاری به UnitedHealth Group
پیش از ادامه بگذارید مختصر این سازمان را به کسانی که با آن آشنایی ندارند معرفی کنیم. با سرمایهای حدود 500 میلیارد دلار، UnitedHealth Group بزرگترین شرکت در بازار ایالات متحده برای بیمه درمانی و خدمات مراقبت های بهداشتی است. این شرکت از نظر درآمد در رتبه نهم جهانی قرار دارد – درست بعد از اپل. UnitedHealth Group از دو شرکت تشکیل شده. یکی از آنها UnitedHealthcare است که تمرکزش بر بیمه سلامت است. دیگری Optum نام دارد و تخصصش در ارائه طیفی وسیع از خدمات مراقبت سلامتی است؛ ازداروها و مراقبتهای پزشکی مستقیم گرفته تا سیستم های فناوری اطلاعات زیربنای عملیات مراقبتهای بهداشتی. Change Healthcare هدف این حمله بود. در 21 فوریه 2024، سیستمهای آن به باجافزار آلوده شدند و پلتفرم را غیرقابل دسترس کردند. این رخداد سیستم مراقبتهای بهداشتی ایالات متحده را ویران کرد و بسیاری از بیماران را مجبور کرد بار مالی هزینههای پزشکی را به دوش بکشند زیرا ادعاهای بیمه به سرعت قابل رسیدگی نبود. ارائهدهندگان مراقبتهای بهداشتی مجبور شدند صورتحسابها را به صورت دستی پردازش کنند.
بازیابی سیستمهای در معرض خطر چندین ماه طول کشید. به عنوان مثال، خدمات تسویه حساب Change Healthcare تا نوامبر فعالیت کامل خود را از سر نگرفت. گروه UnitedHealth حتی یک وب سایت اختصاصی برای پیگیری تلاش های بازسازی راه اندازی کرد. حتی در حال حاضر، یک سال پس از حمله، این شرکت هنوز به طور منظم بهروزرسانیها را در وبسایت منتشر میکند و برخی از سیستمها هنوز به عنوان «جزئی در دسترس» فهرست شدهاند.
جدول زمانی حمله به UnitedHealth Group
چند ماه بعد از این رخداد، در تاریخ 1 می مدیر اجرایی UnitedHealth Group اندرو ویتی، فرا خوانده شد تا در محضر همگی در کنگره شهادت دهد. از آن زمان شهادت به بعد، عموم در نهایت توانستند سر دربیاورند حمله به این شرکت چطور صورت گرفته. طبق گفتههای آقای ویتی، حمله 12 فوریه شروع شد. مهاجمین از اطلاعات محرمانهی دستکاریشده برای دسترسی به پورتال Change Healthcare Citrix استفاده کردند؛ پورتالی که برای کانکشنهای ریموت دسکتاپ استفاده میشد. احراز هویت دوعاملی باید آنها را از این کار بازمیداشت اما فعال نبود. از این رو مهاجمین توانستند با استفاده از اطلاعات محرمانه خیلی راحت به ورودی دسترسی پیدا کنند. بعد از دسترسی اولیه آنها شروع کردند به اجرای حمله جانبی و انباشت داده.
مهاجمین واضحاً تصمیم داشتند ظرف بازه زمانی نُه روزه، دادههای ارزشمند را در حجم بالا جمعآوری کنند. به هر روی، در 21 فوریه آنها از باجافزار استفاده کردند. اینجا بود که رمزگذاری سیستمهای Change Healthcare رقم خورد. UnitedHealth در مواجهه با چنین وضعیتی تصمیم گرفت مراکز داده Change Healthcare را از شبکه قطع کند تا حملهی باجافزاری مهار شود. ویتی اینطور استدلال کرد که این تصمیم به طور مؤثری جلوی پخش عفونت و تسری به Optum، UnitedHealthcare، UnitedHealth Group و هر سازمان خارجی دیگری را گرفت. با این حال، خاموش شدن کامل یک پلتفرم دیجیتالی حیاتی تأثیر مخربی بر عملیات تجاری UnitedHealth Group و کل سیستم مراقبتهای بهداشتی ایالات متحده داشت. بنابراین، گستردهترین حمله باجافزار سال 2024 به دلیل عدم وجود احراز هویت دو مرحلهای در یک پورتال دسترسی از راه دور دسکتاپ ایجاد شد - دقیقاً جایی که کاملاً باید فعال میشد. همانطور که سناتور اورگان، ران وایدن، خلاصه کرد، "این هک میتوانست با امنیت سایبری 101 متوقف شود".
باج دادن UnitedHealth Group
چندین روز پس از این رخنه، باند جرایم سایبری BlackCat/ALPHV مسئولیت آن را بر عهده گرفت. مهاجمان ادعا کردند که 6 ترابایت داده های محرمانه - از جمله سوابق پزشکی، اسناد مالی، و اطلاعات شخصی متعلق به غیرنظامیان و پرسنل نظامی ایالات متحده و سایر اطلاعات حساس را استخراج کرده اند. در مارس 2024، UnitedHealth Group باج 22 میلیون دلاری را به این باند پرداخت کرد. اما داستان به اینجا ختم نشد: پس از دریافت باج، ALPHV وانمود کرد که زیرساختهای آنها دوباره توسط FBI ضبط شده است. این احتمالاً ترفندی بود برای عبور از یکی از همکاران آنها - به جیب زدن پول و ناپدید شدن در اتر. هکار مذکور ادعا کرد که ALPHV نتوانسته است آنها را کاهش دهد، و بعداً با یک باج افزار باج افزار دیگر - RansomHub همکاری کرد. آن باند در آوریل 2024 برخی از دادههای سرقت شده را عمومی کرد و سپس سعی کرد از UnitedHealth پول بیشتری اخاذی کند.
هنوز مشخص نیست آیا UnitedHealth باج دوم را داده است یا نه زیرا هیچ تأیید رسمیای وجود نداشت. اما این درخواست در ادامه از وبسایت RansomHub پاک شد و هیچ نشت دیگری از دادههای سرقتی شرکت مشاهده نشد. از این رو میشود اینطور فرض کرد که شرکت در واقع بار دوم هم باج داده. اگر در نظر بگیریم که مبالغ باج به دلیل تأثیر مالی عظیمی که حمله بر UnitedHealth Group داشته است، این احتمال بیشتر است.
عواقب حمله باجافزار به UnitedHealth Group
تنها در سه ماهه اول 2024، گروه UnitedHealth 872 میلیون دلار خسارت ناشی از این حمله سایبری ثبت کرده است. این شرکت همچنین در گزارش سه ماهه اول خود تخمین زد که هزینه سالانه نقض میتواند به 1.35 تا 1.6 میلیارد دلار برسد.
برآوردهای اولیه بسیار خوشبینانه بود: خسارت پیش بینیشده سه ماهه به سه ماهه افزایش یافت و ابتدا به 2.3 تا 2.45 میلیارد دلار و سپس به 2.87 میلیارد دلار افزایش یافت. در پایان سال مالی، همانطور که توسط UnitedHealth Group در ژانویه 2025 گزارش شد، این رخداد منجر به زیان سالانه 3.09 میلیارد دلاری شد. اگرچه برآورد خسارت برای سال 2024 در حال حاضر نهایی شده است، اما با توجه به اینکه شرکت همچنان با عواقب حمله مقابله میکند، کل خسارت ممکن است به میزان قابلتوجهی افزایش یابد. برآورد رسمی از تعداد افرادی که اطلاعات آنها توسط مجرمان سایبری ممکن است به سرقت رفته باشد، مدت زیادی طول کشید تا محقق شود. تنها هشت ماه پس از این رخداد، در 24 اکتبر 2024 بود که سرانجام گروه یونایتد هلث به آماری رسید. این رقم حیرتانگیزی بود: 100 میلیون یا تقریباً یک سوم کل جمعیت ایالات متحده.
با این وجود، آشکار میشود که این تخمینها به اندازه پیشبینیهای اولیه درباره زیانهای مالی امیدوارکننده بودند. سه ماه بعد، در پایان ژانویه 2025، گروه UnitedHealth گزارشی به روز منتشر کرد که تعداد افرادی که تحت تأثیر این نقض قرار گرفتند را 190 میلیون نفر اعلام کرد.
راهکارهای امنیتی
واضحاً بزرگترین درسی که میشود از این رخداد گرفت این است که باید هر سرویس عمومیای احراز هویت دوعاملی را فعال کند. در غیر این صورت یک پسورد ساده دستکاریشده میتواند مسبب مشکلات عدیده و میلیاردها دلار خسارت شود. اما فعال کردن احراز هویت دوعاملی شاید به تنهایی کافی نباشد. دفاع از زیرساخت سازمانی در برابر حملات باجافزاری باید چندلایهای باشد. بگذارید در این راستا چند توصیه خدمتتان ارائه دهیم:
- آگاهی از امنیت سایبری کارکنان خود را از طریق برنامههای آموزشی مناسب افزایش دهید. پلتفرم آگاهی امنیتی خودکار کسپرسکی ما راهحلی آسان و مقرون به صرفه ارائه میدهد.
- شبکه خود را تقسیم بندی کنید، قوانین مناسب نگهداری داده را تنظیم و سیاستهای دسترسی به داده ها را اجرا کنید. در حالت ایدهآل، ابزارهای امنیتی قوی را در همه دستگاههای شرکت خود بکار ببرید.
- هر گونه فعالیت مشکوک در داخل شبکه شرکت را با استفاده از یک سیستم XDR نظارت کنید.
- اگر تیم امنیت اطلاعات داخلی شما فاقد منابع است یا فاقد تخصص است، یک سرویس شکار تهدید و پاسخ خارجی را استخدام کنید.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.