تحليل-يونايتد هيلث قد يستغرق شهورًا للتعافي بشكل كامل من الاختراق بواسطة رويترز

بقلم زيبا صديقي

(رويترز) – قال خبراء أمنيون إن مجموعة يونايتد هيلث، أكبر شركة للتأمين الصحي في الولايات المتحدة، من المرجح أن تحتاج إلى عدة أشهر للتعافي الكامل من الهجوم الإلكتروني الذي كان أحد أكثر الاختراقات المدمرة ضد البنية التحتية للرعاية الصحية في أمريكا.

منذ أن تم اختراق وحدة Change Healthcare (NASDAQ:) الخاصة بها في 21 فبراير من قبل مجموعة قرصنة تسمى ALPHV، والمعروفة أيضًا باسم “BlackCat”، قالت UnitedHealth (NYSE:) إنها تعمل على استعادة القنوات المتأثرة، وأن بعض أنظمتها يعودون إلى طبيعتهم. على الرغم من أنها لم تقدم جدولًا زمنيًا للتعافي الكامل، إلا أن محللي الأمن السيبراني يقولون إن ذلك من المحتمل أن يكون بعيدًا جدًا.

وقال تشيستر ويسنيوسكي، مدير شركة سوفوس للأمن السيبراني: “إن حجم التعطيل يشير إلى عدم وجود أنظمة بديلة جاهزة”. “لقد مر 13 أو 14 يومًا، وهذا بالفعل أطول مما كنت أتوقعه بالنسبة لأنظمة النسخ الاحتياطي.”

يعالج التغيير حوالي 50% من المطالبات الطبية في الولايات المتحدة لحوالي 900000 طبيب و33000 صيدلية و5500 مستشفى و600 مختبر. يتم التطرق إلى حوالي 1 من كل 3 سجلات مرضى في الولايات المتحدة من خلال عروض التكنولوجيا الصحية، مما يجعلها هدفًا جذابًا للمتسللين الذين يتطلعون إلى الوصول إلى مجموعة كبيرة من بيانات الرعاية الصحية.

وقال ويسنيوسكي، الذي تعقب مثل هذه الانتهاكات لأكثر من 20 عامًا، إن العملاء المتأثرين بشكل مباشر قد يرون إصلاحًا عاجلاً، “لكن النهاية الخلفية، تستغرق بضعة أشهر، أو أكثر من عام”.

وقال متحدث باسم UnitedHealth إن الشركة ركزت على التحقيق في الاختراق واستعادة العمليات في Change Healthcare.

وقالت الشركة، في تحديث يوم الجمعة، إنها تتوقع أن تبدأ المدفوعات الإلكترونية في العمل اعتبارًا من 15 مارس فصاعدًا، واستعادة الاتصال بشبكة المطالبات والبرامج الخاصة بها في الأسبوع التالي.

تدخل المسؤولون الأمريكيون للمساعدة في الحد من الفوضى الناجمة عن الاختراق الذي أصاب مقدمي الرعاية الطبية الأصغر حجمًا بشكل خاص، حيث يكافح العديد منهم لمعالجة المدفوعات.

انتهاكات مماثلة في العام الماضي ضد شركة القمار MGM Resorts (NYSE:) شركة المنتجات الاستهلاكية الدولية Clorox (NYSE:) أثرت عليها لعدة أشهر، مما كلف MGM ما لا يقل عن 100 مليون دولار كتعويضات وكلوروكس انخفاضًا بأكثر من 350 مليون دولار في صافي المبيعات الفصلية.

وقال بريت كالو، محلل برامج الفدية المقيم في كندا في شركة الأمن السيبراني Emsisoft: “إن إعادة كل شيء إلى طبيعته يمكن أن يستغرق عدة أشهر”.

لم تذكر UnitedHealth ما إذا كانت ALPHV طلبت فدية، لكن منشورًا في منتدى الجرائم الإلكترونية عبر الإنترنت زعم أن الشركة دفعت 22 مليون دولار للمتسللين لاستعادة الوصول إلى أنظمتها المقفلة وحوالي 8 تيرابايت، أو 8 ملايين ميجابايت، من البيانات التي يُزعم أنها سُرقت. .

وقال كورتيس مايندر، المؤسس المشارك لشركة الاستخبارات السيبرانية GroupSense، إن عملية فك التشفير هذه يمكن أن تستغرق “كميات غير معقولة من الوقت، اعتمادًا على أحجام الملفات والأنظمة المعنية”.

وقال ميندر، الذي ساعد المنظمات المتضررة في التفاوض مع ALPHV، إن الجداول الزمنية للتعافي تراوحت من بضعة أسابيع إلى “طويلة وأطول”.

لم تستجب ALPHV لطلبات التعليق. ورفض مكتب التحقيقات الفيدرالي الأمريكي، الذي يحقق عادة في مثل هذه الأمور، التعليق على الاختراق.

الهجمات الانتقامية

قبل أشهر من قيام ALPHV باختراقها الأكثر إزعاجًا حتى الآن، كانت تضرب المستشفيات ومقدمي الرعاية الصحية الصغيرة.

وقال ميندر إنه ساعد العديد من الشركات، بما في ذلك عيادة العناية بالعيون التي كانت هدفًا لـ ALPHV العام الماضي، في التفاوض مع المتسللين.

قال ميندر: “من بين المجموعات التي تعاملنا معها في مجال برامج الفدية، كانت ALPHV من أكثر المجموعات عدائية أو صعوبة في التعامل معها”، مضيفًا أن العصابة كانت مثابرة بشكل خاص ضد أهدافها، وعنيدة في التفاوض بشأن الفدية.

تنشط عصابة الجرائم الإلكترونية الناطقة باللغة الروسية ALPHV منذ عام 2021 على الأقل، وتوفر برامجها الضارة وبنيتها التحتية لجماعات القرصنة الأخرى، وكانت ثاني أكثر كيانات “برامج الفدية كخدمة” إنتاجًا في العالم حتى قام مكتب التحقيقات الفيدرالي بتعطيل عملياتها في ديسمبر .

وقال مكتب التحقيقات الفيدرالي في ذلك الوقت إنه استولى على العديد من مواقع ALPHV وحصل على معلومات حول شبكة الكمبيوتر الخاصة به. لقد أثار اختراق التغيير تساؤلات حول مدى فعالية الإجراءات التي اتخذتها الوكالة بالفعل.

ردًا على إزالة مكتب التحقيقات الفيدرالي (FBI)، أصدر مسؤول ALPHV تعليماته إلى “الشركات التابعة” للقرصنة لاستهداف المستشفيات، وفقًا لاستشارة وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) حول المجموعة الأسبوع الماضي.

وقالت CISA إن من بين ما يقرب من 70 من ضحايا ALPHV المعروفين منذ منتصف ديسمبر، كان معظمهم في الرعاية الصحية.

هناك بعض العلامات التي قد تكون ALPHV هادئة لفترة من الوقت. بعد اختراق Change Healthcare، قامت العصابة بسحب عملية اختفاء.

لكن المحللين يقولون إنه من الشائع بالنسبة لمثل هذه الجماعات أن تعيد صياغة نفسها وتعيد إحياء نفسها.

قال مايندر: “من أجل تعطيل هؤلاء الأشخاص حقًا، يجب عليك إلقاء القبض عليهم”. وأضاف أن مثل هذه الاعتقالات صعبة، نظرا لأن هذه العصابات غالبا ما تتمركز في دول لا تربطها الولايات المتحدة باتفاقيات تسليم المجرمين.