في 21 فبراير، ضربت ALPHV/Blackcat نظام الدفع والمطالبات Change Healthcare بهجوم برنامج فدية له تداعيات واسعة النطاق. وقد ترك الهجوم الصيدليات تتدافع لملء الوصفات الطبية للمرضى ومقدمي التأمين غير قادرين على تعويض مطالبات مقدمي الخدمة.
شركة Change Healthcare، المملوكة لمجموعة UnitedHealth Group (UHG)، أخذ الأنظمة دون اتصال بالإنترنت لاحتواء الهجوم، حسبما ذكرت شبكة إن بي سي نيوز. وقد أنشأت منذ ذلك الحين “حلولاً متعددة لضمان معالجة مطالبات مقدمي الخدمة وحصول الأشخاص على الأدوية والرعاية التي يحتاجون إليها”، وفقًا لتقرير حديث. بيان UHG.
لماذا يسبب هذا الهجوم الكثير من الاضطراب في صناعة الرعاية الصحية؟ ما الذي يمكن أن يتوقعه مجتمع الأمن السيبراني من ALPHV/Blackcat بعد ذلك؟ وكيف يمكن للرعاية الصحية الاستعداد لاستمرار خطر برامج الفدية؟
هجوم الفدية
تنجز شركة Change Healthcare 15 مليار معاملة رعاية صحية كل عام، وتلامس واحدًا من كل ثلاثة سجلات للمرضى في الولايات المتحدة، وفقًا لموقعها على الإنترنت. وأدى الهجوم السيبراني إلى سرقة ستة تيرابايت من البيانات، تدعي عصابة برامج الفدية. وكان الاضطراب التشغيلي شديدا. لقد كان المرضى اضطر إلى الدفع من جيبه مقابل الوصفات الطبيةبسبب عدم قدرة الصيدليات على معالجة بطاقات الخصم، حسبما ذكرت شبكة إن بي سي نيوز. لا تحصل المستشفيات والأنظمة الصحية المتضررة على رواتبها بسبب تعطيل معالجة المطالبات، مما يؤدي إلى مخاوف من عدم قدرتها على دفع الرواتب.
UHG “… لا يمكنها تقدير مدة أو مدى التعطيل في هذا الوقت”، وفقًا لما ذكره أحد 8-ك تم تقديمه في 22 فبراير.
“أعتقد أنه كلما طال أمد الأمر، كلما اكتشفنا المزيد عن الكيفية التي من المحتمل أن تتعطل بها الأنظمة الأخرى. “سيكون لدينا المزيد من المضايقات للمريض، ومرة أخرى على المستوى الكلي الأكبر، أعتقد أننا سنرى المزيد من المستشفيات التي تعاني من مشاكل مالية بسبب عدم القدرة على دفع أجورها،” كما يقول إيرول فايس، كبير ضباط الأمن في الشركة. الصحة-ISAC (مركز تبادل وتحليل المعلومات)، وهي منظمة غير ربحية تعمل على تبادل معلومات التهديدات السيبرانية.
يجب أن يكون هذا الهجوم بمثابة صحوة فيما يتعلق بالترابط والتعقيد الموجود في نظام الرعاية الصحية في الولايات المتحدة، وفقًا لوايس. “نحن كقطاع، نحن كمجتمع هنا في الولايات المتحدة، بحاجة إلى القيام بعمل أفضل لتحديد هذه الترابطات الحاسمة”، كما يقول لمجلة InformationWeek.
بفضل الحلول البديلة، تمكنت شركة Change Healthcare من معالجة 3 ملايين معاملة صيدلية، مع إجراء المزيد كل يوم، وفقًا لـ UHG صفحة التحديثات. ومن ناحية المطالبات، يصل التدفق إلى 90%.
وفي حين أن قطاع الرعاية الصحية لا يزال يعاني من التداعيات، فمن غير الواضح كيف تم تنفيذ الهجوم بالضبط. وأشار باحثون أمنيون إلى تم استغلال الثغرات الأمنية في ConnectWise ScreenConnect مسبقا في هذا الشهر. تمت مشاركة Health-ISAC في أ نشرة 26 فبراير أن شركة الاستخبارات السيبرانية RedSense حددت Change Healthcare كضحية للثغرات الأمنية CVE-2024-1708 وCVE-2024-1709. في 27 فبراير، نشرت ConnectWise أ إفادة تفيد بأنها “ليست على علم بأي صلة مؤكدة بين ثغرة ScreenConnect التي تم الكشف عنها في 19 فبراير 2024، والحادث الذي وقع في Change Healthcare.”
عودة ALPHV/Blackcat
أكدت UHG أن ALPHV/Blackcat تقف وراء الهجوم الإلكتروني. يُزعم أن UHG دفع فدية قدرها 22 مليون دولاربحسب رويترز. يمثل هجوم ALPHV/Blackcat على Change Healthcare بمثابة عودة كبيرة للمجموعة التالية التعطيل من قبل إنفاذ القانون في ديسمبر 2023.
يقول نيك فين، كبير مستشاري استخبارات التهديدات في شركة “بلاك كات”: “يمكنك النظر إلى ضربة Change Healthcare باعتبارها رد فعل من شركة Blackcat على ما كانت عليه عملية الإزالة التي قام بها مكتب التحقيقات الفيدرالي”.نقطة التوجيه الأمنية، شركة استشارات الأمن السيبراني.
في أعقاب الهجوم على Change Healthcare، يبدو أن مجموعة برامج الفدية تحرق البنية التحتية الخاصة بها. كان مسؤولو ALPHV/Blackcat بتهمة الاحتفاظ بفدية قدرها 22 مليون دولار لأنفسهم، والاستغناء عن الشركات التابعة لهم.
يقول مارك بليشر، المدير التنفيذي للتكنولوجيا في شركة الأمن السيبراني: “أعتقد أنه لا يزال من السابق لأوانه القول ما إذا كان هناك بالفعل اقتتال داخلي ونحن على وشك رؤية زوال ALPHV/Blackcat، أو ما إذا كانت هذه هي مهارتهم في إرسال معلومات مضللة”. سوريفيري سايبر.
تم إغلاق موقع التسريب الخاص بمجموعة برامج الفدية، وعرضت رمز مصدر برامج الفدية كخدمة للبيع بسعر 5 ملايين دولار. يعتقد الخبراء أن هذه الخطوة هي عملية احتيال للخروج. المجموعة ألقى باللوم على مكتب التحقيقات الفيدرالي لإغلاق أبوابها، لكن سلطات إنفاذ القانون أكدت أنها لم تشارك في التعطيل الأخير لعمليات المجموعة، وفقًا لموقع Bleeping Computer.
“الآن بعد أن قاموا بعملية إزالة ناجحة على هذا النطاق، ويبدو أنهم يبيعون جميع أصولهم نوعًا ما. يقول فين: “إنهم يسرقون حتى من الشركات التابعة لهم، ويخرجون من الاحتيال على جميع المشاركين تقريبًا حتى يتمكنوا على الأرجح من الهروب من هذا قبل أن يتم القبض عليهم”.
إذا اتبعت ALPHV/Blackcat الأنماط السابقة، فمن الممكن أن تعود المجموعة إلى الظهور. يقول بليشر: “أنا شخصياً أعتقد أننا على وشك رؤية علامة تجارية جديدة”. “هذا في تاريخهم.” ALPHV/Blackcat هو مرتبط بـ BlackMatter/DarkSide، مجموعة برامج الفدية التي تقف وراء الهجوم الإلكتروني Colonial Pipeline.
إذا انطلق مسؤولو المجموعة بفدية قدرها 22 مليون دولار كما اشتبهوا، فمن المحتمل أن يكونوا قد أحرقوا الجسر مع الشركات التابعة له.
“من المحتمل أن تنتقل الشركات التابعة إلى مجموعات أخرى. يقول فين: “من المؤكد أن بعضها قد ينشق ويخلق أشكالًا مختلفة خاصة به… خاصة تلك التي خسرت أموالها لصالح ALPHV”. “ليس من المحتمل جدًا أنهم سيذهبون إلى بعض برامج الفدية الأخرى كمجموعة خدمة ويخاطرون بسرقة أموالهم وفدياتهم منهم من قبل تلك المجموعات أيضًا.”
الرعاية الصحية ومخاطر الفدية
التابع 5,559 حدثًا عالميًا لبرامج الفدية تم تتبع ISAC الخاص بالصحة في عام 2023، حيث حدثت 459 حالة في قطاع الرعاية الصحية، وفقًا لتقرير 2023: اتجاهات الأمن السيبراني والتهديدات في قطاع الرعاية الصحية في الربع الرابع.
في الماضي، منحت بعض مجموعات برامج الفدية تصريحًا لمؤسسات الرعاية الصحية. عندما تعرضت مستشفى الأطفال SickKids لهجوم ببرنامج الفدية LockBit في عام 2022، قامت مجموعة برامج الفدية اعتذر علنًا، ونشر برنامج فك التشفير، وحظر الشركة التابعة التي تقف وراء الهجوم. ويبدو أن هذا التساهل لم يدوم. وفي عام 2024، أعلنت شركة LockBit مسؤوليتها عن هجوم على مستشفى للأطفال في شيكاغو ولا نية للتراجع. الآن، كان لهجوم برنامج الفدية Change Healthcare تأثير كبير ليس فقط على مستشفى واحد أو نظام صحي واحد، بل على العديد من مقدمي الرعاية الصحية.
“أعتقد أنه عندما نرى مثل هذه الأحداث تحدث… فهذا يؤكد حقيقة حدوثها [ransomware groups] يقول فايس: “إنهم على استعداد لملاحقة أي منظمة… إذا تمكنوا من جني الأموال من القيام بذلك، وسنستمر في رؤية ذلك”.
أنشأت UHG أ برنامج المساعدة التمويلية المؤقتة عبر Optum Financial Services لدعم مقدمي الخدمات المتأثرين. تعد الرعاية الصحية أحد قطاعات البنية التحتية الحيوية، وقد أثيرت أسئلة حول الدور الذي يجب أن تلعبه الحكومة في دعم كيانات الرعاية الصحية أثناء تعاملها مع هذا النوع من التداعيات.
يقول فايس: “أفضل أن أرى شركة UHG تركز على جهود الترميم وإعادة تشغيل الأنظمة مرة أخرى، ولا داعي للقلق بشأن الخدمات اللوجستية والآثار المترتبة على وضع برنامج قرض لمحاولة مساعدة عملائها وشركائها”. “لذا، أود أن أتطلع إلى تدخل وزارة الصحة والخدمات الإنسانية حتى أتمكن من القيام بشيء من هذا القبيل للمساعدة في حل مشكلة التدفق النقدي هذه.”
أصدرت وزارة الصحة والخدمات الإنسانية الأمريكية (HHS) أ إفادة حول الهجوم الإلكتروني، مع تفاصيل الطرق التي يمكن لمراكز الرعاية الطبية والخدمات الطبية (CMS) من خلالها مساعدة مقدمي الخدمات.
جمعية المستشفيات الأمريكية (AHA) لديها استجاب: “إن حجم هذه اللحظة يستحق نفس المستوى من الإلحاح والقيادة الذي نشرته حكومتنا في أي حدث وطني بهذا الحجم قبلها. الإجراءات المعلنة اليوم لا تفعل ذلك ولا تمثل استجابة حكومية كافية”.
وواصلت جمعية القلب الأمريكية، وهي مجموعة تجارية تمثل المستشفيات وشبكات الرعاية الصحية، بيانها من خلال التأكيد على خططها للعمل مع الكونجرس.
المعركة المستمرة
يعد الهجوم على Change Healthcare مثالًا صارخًا على مدى ارتفاع التكلفة المالية والبشرية لبرامج الفدية في مجال الرعاية الصحية. وهذه الهجمات لن تتوقف. يقول فايس: “أعتقد أن الهجمات ستصبح أكثر تعقيدًا، وستستمر في تحقيق النجاح لأن المؤسسات في جميع المجالات – وليس فقط الرعاية الصحية – تعاني من نقص التمويل والموارد عندما يتعلق الأمر بالأمن السيبراني”.
يعد العمل مع المخاطر المستمرة وإدارة الثغرات الأمنية وتخطيط الاستجابة للحوادث أمرًا حيويًا لقادة الأمن السيبراني في مجال الرعاية الصحية ومؤسساتهم. يقول فين: “يتعلق الأمر حقًا بالأساسيات عندما نتحدث عن الاستجابة للحوادث، والحصول على نسخ احتياطية صالحة، ووجود ضوابط جيدة حقًا، والقدرة على تحديد الحوادث”. “عليك أن تتوقع أن شيئًا كهذا يمكن أن يحدث لك، ويجب أن يكون لديك خطة جاهزة لمعالجته ومعالجته بسرعة.”
