روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ حدود یک سال پیش، UnitedHealth Group (غول بیمه سلامت در آمریکا) هدف یکی از بزرگ‌ترین حملات باج‌افزاری قرار گرفت. این حمله آنچنان عواقب سخت و گسترده‌ای داشت که جزئیات جدید در مورد آن و پیامدهایش از زمان رخداد تا امروز هنوز در حال ظهور است. به مناسبت سالگرد آن، خلاصه ای از تمام داده‌های موجود امروز را گردآوری کرده‌ایم.

حمله‌ی باج‌افزاری به UnitedHealth Group

پیش از ادامه بگذارید مختصر این سازمان را به کسانی که با آن آشنایی ندارند معرفی کنیم. با سرمایه‌ای حدود 500 میلیارد دلار، UnitedHealth Group بزرگترین شرکت در بازار ایالات متحده برای بیمه درمانی و خدمات مراقبت های بهداشتی است. این شرکت از نظر درآمد در رتبه نهم جهانی قرار دارد – درست بعد از اپل. UnitedHealth Group از دو شرکت تشکیل شده. یکی از آن‌ها UnitedHealthcare است که تمرکزش بر بیمه سلامت است. دیگری Optum نام دارد و تخصصش در ارائه طیفی وسیع از خدمات مراقبت سلامتی است؛ ازداروها و مراقبت‌های پزشکی مستقیم گرفته تا سیستم های فناوری اطلاعات زیربنای عملیات مراقبت‌های بهداشتی. Change Healthcare هدف این حمله بود. در 21 فوریه 2024، سیستم‌های آن به باج‌افزار آلوده شدند و پلت‌فرم را غیرقابل دسترس کردند. این رخداد سیستم مراقبت‌های بهداشتی ایالات متحده را ویران کرد و بسیاری از بیماران را مجبور کرد بار مالی هزینه‌های پزشکی را به دوش بکشند زیرا ادعاهای بیمه به سرعت قابل رسیدگی نبود. ارائه‌دهندگان مراقبت‌های بهداشتی مجبور شدند صورتحساب‌ها را به صورت دستی پردازش کنند.

بازیابی سیستم‌های در معرض خطر چندین ماه طول کشید. به عنوان مثال، خدمات تسویه حساب Change Healthcare تا نوامبر فعالیت کامل خود را از سر نگرفت. گروه UnitedHealth حتی یک وب سایت اختصاصی برای پیگیری تلاش های بازسازی راه اندازی کرد. حتی در حال حاضر، یک سال پس از حمله، این شرکت هنوز به طور منظم به‌روزرسانی‌ها را در وب‌سایت منتشر می‌کند و برخی از سیستم‌ها هنوز به عنوان «جزئی در دسترس» فهرست شده‌اند.

جدول زمانی حمله به UnitedHealth Group

چند ماه بعد از این رخداد، در تاریخ 1 می مدیر اجرایی UnitedHealth Group اندرو ویتی، فرا خوانده شد تا در محضر همگی در کنگره شهادت دهد. از آن زمان شهادت به بعد، عموم در نهایت توانستند سر دربیاورند حمله به این شرکت چطور صورت گرفته. طبق گفته‌های آقای ویتی، حمله 12 فوریه شروع شد. مهاجمین از اطلاعات محرمانه‌ی دستکاری‌شده برای دسترسی به پورتال Change Healthcare Citrix استفاده کردند؛ پورتالی که برای کانکشن‌های ریموت دسکتاپ استفاده می‌شد. احراز هویت دوعاملی باید آن‌ها را از این کار بازمی‌داشت اما فعال نبود. از این رو مهاجمین توانستند با استفاده از اطلاعات محرمانه خیلی راحت به ورودی دسترسی پیدا کنند. بعد از دسترسی اولیه آن‌ها شروع کردند به اجرای حمله جانبی و انباشت داده.

مهاجمین واضحاً تصمیم داشتند ظرف بازه زمانی نُه روزه، داده‌های ارزشمند را در حجم بالا جمع‌آوری کنند. به هر روی، در 21 فوریه آن‌ها از باج‌افزار استفاده کردند. اینجا بود که رمزگذاری سیستم‌های Change Healthcare رقم خورد. UnitedHealth در مواجهه با چنین وضعیتی تصمیم گرفت مراکز داده Change Healthcare را از شبکه قطع کند تا حمله‌ی باج‌افزاری مهار شود. ویتی اینطور استدلال کرد که این تصمیم به طور مؤثری جلوی پخش عفونت و تسری به Optum، UnitedHealthcare، UnitedHealth Group و هر سازمان خارجی دیگری را گرفت. با این حال، خاموش شدن کامل یک پلت‌فرم دیجیتالی حیاتی تأثیر مخربی بر عملیات تجاری UnitedHealth Group و کل سیستم مراقبت‌های بهداشتی ایالات متحده داشت. بنابراین، گسترده‌ترین حمله باج‌افزار سال 2024 به دلیل عدم وجود احراز هویت دو مرحله‌ای در یک پورتال دسترسی از راه دور دسکتاپ ایجاد شد - دقیقاً جایی که کاملاً باید فعال می‌شد. همانطور که سناتور اورگان، ران وایدن، خلاصه کرد، "این هک می‌توانست با امنیت سایبری 101 متوقف شود".

باج دادن UnitedHealth Group

چندین روز پس از این رخنه، باند جرایم سایبری BlackCat/ALPHV مسئولیت آن را بر عهده گرفت. مهاجمان ادعا کردند که 6 ترابایت داده های محرمانه - از جمله سوابق پزشکی، اسناد مالی، و اطلاعات شخصی متعلق به غیرنظامیان و پرسنل نظامی ایالات متحده و سایر اطلاعات حساس را استخراج کرده اند. در مارس 2024، UnitedHealth Group باج 22 میلیون دلاری را به این باند پرداخت کرد. اما داستان به اینجا ختم نشد: پس از دریافت باج، ALPHV وانمود کرد که زیرساخت‌های آن‌ها دوباره توسط FBI ضبط شده است. این احتمالاً ترفندی بود برای عبور از یکی از همکاران آنها - به جیب زدن پول و ناپدید شدن در اتر. هکار مذکور ادعا کرد که ALPHV نتوانسته است آنها را کاهش دهد، و بعداً با یک باج افزار باج افزار دیگر - RansomHub همکاری کرد. آن باند در آوریل 2024 برخی از داده‌های سرقت شده را عمومی کرد و سپس سعی کرد از UnitedHealth پول بیشتری اخاذی کند.

هنوز مشخص نیست آیا UnitedHealth باج دوم را داده است یا نه زیرا هیچ تأیید رسمی‌ای وجود نداشت. اما این درخواست در ادامه از وبسایت RansomHub پاک شد و هیچ نشت دیگری از داده‌های سرقتی شرکت مشاهده نشد. از این رو می‌شود اینطور فرض کرد که شرکت در واقع بار دوم هم باج داده. اگر در نظر بگیریم که مبالغ باج به دلیل تأثیر مالی عظیمی که حمله بر UnitedHealth Group داشته است، این احتمال بیشتر است.

عواقب حمله باج‌افزار به UnitedHealth Group

تنها در سه ماهه اول 2024، گروه UnitedHealth 872 میلیون دلار خسارت ناشی از این حمله سایبری ثبت کرده است. این شرکت همچنین در گزارش سه ماهه اول خود تخمین زد که هزینه سالانه نقض می‌تواند به 1.35 تا 1.6 میلیارد دلار برسد.

برآوردهای اولیه بسیار خوش‌بینانه بود: خسارت پیش بینی‌شده سه ماهه به سه ماهه افزایش یافت و ابتدا به 2.3 تا 2.45 میلیارد دلار و سپس به 2.87 میلیارد دلار افزایش یافت. در پایان سال مالی، همانطور که توسط UnitedHealth Group در ژانویه 2025 گزارش شد، این رخداد منجر به زیان سالانه 3.09 میلیارد دلاری شد. اگرچه برآورد خسارت برای سال 2024 در حال حاضر نهایی شده است، اما با توجه به اینکه شرکت همچنان با عواقب حمله مقابله می‌کند، کل خسارت ممکن است به میزان قابل‌توجهی افزایش یابد. برآورد رسمی از تعداد افرادی که اطلاعات آنها توسط مجرمان سایبری ممکن است به سرقت رفته باشد، مدت زیادی طول کشید تا محقق شود. تنها هشت ماه پس از این رخداد، در 24 اکتبر 2024 بود که سرانجام گروه یونایتد هلث به آماری رسید. این رقم حیرت‌انگیزی بود: 100 میلیون یا تقریباً یک سوم کل جمعیت ایالات متحده.

با این وجود، آشکار می‌شود که این تخمین‌ها به اندازه پیش‌بینی‌های اولیه درباره زیان‌های مالی امیدوارکننده بودند. سه ماه بعد، در پایان ژانویه 2025، گروه UnitedHealth گزارشی به روز منتشر کرد که تعداد افرادی که تحت تأثیر این نقض قرار گرفتند را 190 میلیون نفر اعلام کرد.

راهکارهای امنیتی

واضحاً بزرگ‌ترین درسی که می‌شود از این رخداد گرفت این است که باید هر سرویس عمومی‌ای احراز هویت دوعاملی را فعال کند. در غیر این صورت یک پسورد ساده دستکاری‌شده می‌تواند مسبب مشکلات عدیده و میلیاردها دلار خسارت شود. اما فعال کردن احراز هویت دوعاملی شاید به تنهایی کافی نباشد. دفاع از زیرساخت سازمانی در برابر حملات باج‌افزاری باید چندلایه‌ای باشد. بگذارید در این راستا چند توصیه خدمتتان ارائه دهیم:

•         آگاهی از امنیت سایبری کارکنان خود را از طریق برنامه‌های آموزشی مناسب افزایش دهید. پلت‌فرم آگاهی امنیتی خودکار کسپرسکی ما راه‌حلی آسان و مقرون به صرفه ارائه می‌دهد.
•         شبکه خود را تقسیم بندی کنید، قوانین مناسب نگهداری داده را تنظیم و سیاست‌های دسترسی به داده ها را اجرا کنید. در حالت ایده‌آل، ابزارهای امنیتی قوی را در همه دستگاه‌های شرکت خود بکار ببرید.
•         هر گونه فعالیت مشکوک در داخل شبکه شرکت را با استفاده از یک سیستم XDR نظارت کنید.
•         اگر تیم امنیت اطلاعات داخلی شما فاقد منابع است یا فاقد تخصص است، یک سرویس شکار تهدید و پاسخ خارجی را استخدام کنید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.