สาเหตุของการโจมตีทางไซเบอร์ที่น่ากลัวที่สุดครั้งหนึ่งในปี 2024 ได้รับการเปิดเผยแล้ว หลังจากการสอบสวน ปรากฎว่าอาชญากรไซเบอร์ของ BlackCat สามารถเจาะระบบไอทีของ Change Healthcare ได้โดยการใช้ประโยชน์จากความประมาทเลินเล่อของผู้รับผิดชอบ พวกเขาไม่ได้เปิดใช้งานกลไกความปลอดภัยที่ยังจำเป็นอยู่
สองเดือนที่แล้วอาชญากรไซเบอร์ BlackCat โจมตี UnitedHealthซึ่งเป็นบริษัทประกันภัยสัญชาติอเมริกันที่เชี่ยวชาญด้านการดูแลสุขภาพ พวกโจรสลัดก็มีปรับใช้ ransomwareในระบบคอมพิวเตอร์ของ Change Healthcare ซึ่งเป็นบริษัทในเครือของ UnitedHealth ที่ให้บริการซอฟต์แวร์การชำระเงินแก่ผู้ให้บริการด้านสุขภาพ
การดำเนินงานของผู้ให้บริการด้านการดูแลสุขภาพในสหรัฐฯ ได้รับผลกระทบอย่างมากจากการโจมตีทางไซเบอร์ พวกเขาเผชิญกับความยากลำบากในการดำเนินงานเป็นเวลาหลายสัปดาห์ ทำให้ Change Healthcare ต้องจัดหาซอฟต์แวร์เตรียมการเคลมทางการแพทย์เพิ่มเติมในขณะที่รอการกู้คืนระบบ แม้จะมีความพยายามของบริษัท โรงพยาบาลร้านขายยาและการปฏิบัติทางการแพทย์ต้องเผชิญกับความล่าช้าอย่างมากในการชำระค่าสินไหมทดแทนประกัน นี่คือการโจมตีทางไซเบอร์ที่เลวร้ายที่สุดที่ระบบสุขภาพประสบของสหรัฐอเมริกา ประมาณการโดยสมาคมโรงพยาบาลอเมริกัน UnitedHealth มีค่าใช้จ่ายมากกว่า 870 ล้านดอลลาร์
อ่านเพิ่มเติม:Lockbit ransomware รั่วไหล "ข้อมูลที่ละเอียดอ่อน" ในผู้ป่วยชาวฝรั่งเศส
ข้อมูลสำคัญจำนวน 6 TB ถูกขโมย
ก่อนที่จะเข้ารหัสข้อมูล แฮกเกอร์ได้ขโมยข้อมูลที่เป็นความลับของชาวอเมริกันจำนวนมาก อ้างอิงจาก BlackCatข้อมูลหกเทราไบต์ถูกกรองออกระหว่างการผ่าตัด ข้อมูลที่ถูกขโมยได้แก่เวชระเบียนของผู้ป่วยชาวอเมริกัน ตามที่ Andrew Witty ซีอีโอของ UnitedHealth ข้อมูลของชาวอเมริกันหนึ่งในสามถูกขโมย
ต่อหน้าวุฒิสภาสหรัฐอเมริกา เจ้าหน้าที่ยืนยันว่า UnitedHealth ตกลงที่จะจ่ายค่าไถ่ตามที่แฮกเกอร์ BlackCat เรียกร้อง ทางกลุ่มได้ชำระเงินแล้วBitcoins มูลค่า 22 ล้านเหรียญสหรัฐแก่อาชญากรด้วยความหวังที่จะปกป้องข้อมูลที่ละเอียดอ่อนของชาวอเมริกัน เปล่าประโยชน์. หลังจากรวบรวมค่าไถ่แล้ว BlackCat ก็รั่วไหลข้อมูลไปยังตลาดมืดบนเว็บมืด ข้อมูลที่ละเอียดอ่อนตกอยู่ในมือของกลุ่มอย่างน้อยสองกลุ่ม
อ่านเพิ่มเติม:การโจมตีทางไซเบอร์ครั้งใหม่นี้แสดงให้เห็นว่าคุณไม่ควรรีไซเคิลรหัสผ่านของคุณอย่างแน่นอน
ข้อมูลรั่วไหลที่ต้นตอของการโจมตีทางไซเบอร์
เหนือสิ่งอื่นใด Andrew Witty เปิดเผยต้นกำเนิดของการบุกรุกถึงวุฒิสมาชิกสหรัฐอเมริกา จากการสำรวจของ UnitedHealth พบว่า“อาชญากรใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อเข้าถึง Citrix Change Healthcare Portal จากระยะไกล ซึ่งเป็นแอปพลิเคชันที่ใช้ในการเปิดใช้งานการเข้าถึงคอมพิวเตอร์เดสก์ท็อปจากระยะไกล”- ไม่น่าแปลกใจเลยที่การโจมตีนั้นมีพื้นฐานมาจากข้อมูลประจำตัวรั่วไหล- นี่เป็นกรณีของการโจมตีคอมพิวเตอร์ส่วนใหญ่ จากการศึกษาของ Surfshark เผยให้เห็นว่าบัญชี 17 พันล้านบัญชีถูกแฮ็กในช่วงยี่สิบปี-
บริษัทหลายแห่งใช้ซอฟต์แวร์ Citrix เพื่อให้พนักงานสามารถเข้าถึงคอมพิวเตอร์ที่ทำงานของตนจากระยะไกลผ่านเครือข่ายภายใน บริษัทไม่ได้ระบุว่าแฮกเกอร์ชาวรัสเซียเข้าถึงข้อมูลรับรองการเข้าถึง Citrix ได้อย่างไร ติดต่อโดยคอมพิวเตอร์ส่งเสียงบี๊บนักวิจัยของ Hudson Rock กล่าวว่าข้อมูลรับรอง Citrix ของพนักงาน Change Healthcare ถูกสปายแวร์ขโมยไป
“เมื่อผู้คุกคามเข้าถึงได้ พวกเขาก็ย้ายเข้าไปภายในระบบด้วยวิธีที่ซับซ้อนยิ่งขึ้นและขโมยข้อมูลออกไป แรนซัมแวร์ถูกใช้งานในอีกเก้าวันต่อมา »แอนดรูว์ วิทตี้ อธิบายต่อวุฒิสภา
กลไกความปลอดภัยที่ถูกมองข้าม
น่าเสียดายที่พอร์ทัลไม่ได้รับการปกป้องโดย“การรับรองความถูกต้องแบบหลายปัจจัย”, ผู้นำกลุ่มกล่าวเสริม โดยพฤตินัย เป็นไปได้ที่จะเข้าสู่ระบบโดยใช้รหัสผ่านและชื่อผู้ใช้เท่านั้น พอร์ทัลไม่ต้องการรหัสที่ส่งทาง SMS อีเมล หรือผ่านแอปพลิเคชันการตรวจสอบสิทธิ์เฉพาะ การเพิ่มระบบการตรวจสอบสิทธิ์แบบสองปัจจัยในทางทฤษฎีจะปิดกั้นเส้นทางของอาชญากรไซเบอร์ของ BlackCat
เพื่อตอบสนองต่อการเปิดเผยของ Andrew Witty Ron Wyden สมาชิกวุฒิสภาจากพรรคเดโมแครตและประธานคณะกรรมการการเงินของวุฒิสภากล่าวว่าการโจมตีทางไซเบอร์อาจมีผลหลีกเลี่ยงได้ง่ายโดยนำหลักปฏิบัติพื้นฐานด้านความปลอดภัยทางไซเบอร์มาใช้ สมาชิกวุฒิสภากล่าวเสริมว่าเขา“ไม่ควรรอให้การโจมตีทางไซเบอร์ที่เลวร้ายที่สุดเท่าที่เคยเกิดขึ้นในภาคสุขภาพจึงตกลงที่จะทำขั้นต่ำสุดนี้”- เมื่อเผชิญหน้ากับวุฒิสมาชิก ซีอีโอของ UnitedHealth รับรองว่าตอนนี้บริษัทจะบังคับใช้การตรวจสอบสิทธิ์แบบสองปัจจัยในทุกส่วนของบริษัท
นี่ยังห่างไกลจากครั้งแรกที่การโจมตีทางไซเบอร์เกิดขึ้นได้ด้วยความประมาทเลินเล่อในลักษณะนี้ เมื่อเดือนมกราคมที่ผ่านมา สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) ซึ่งเป็นหน่วยงานกำกับดูแลของตลาดหลักทรัพย์สหรัฐอเมริกา สูญเสียการควบคุมบัญชี X ของเขา (Twitter) หลังจากการหลอกลวงซิมการ์ด มีรายงานว่าการโจมตีถูกขัดขวางโดยการเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยในบัญชี หน่วยงานกำกับดูแลอาจขอให้แพลตฟอร์มขอรหัสเพิ่มเติม เช่น ส่งทางอีเมล ก่อนที่จะเปิดประตู ตามการศึกษาที่ดำเนินการโดย CyberEdge ในปี 2022ธุรกิจเกือบครึ่งหนึ่งไม่ได้เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อป้องกันการแฮ็ก
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : หมิ่น
