Die UnitedHealth Group hat bestätigt, dass sie ein Lösegeld an Cyberkriminelle gezahlt hat, um sensible Daten zu schützen, die während eines Ransomware-Angriffs auf Optum Ende Februar gestohlen wurden. Der Angriff führte zu einem Ausfall, der das Change Healthcare-Zahlungssystem beeinträchtigte und eine Reihe kritischer Dienste für Gesundheitsdienstleister und Apotheken in den USA störte, einschließlich der Zahlungsabwicklung, der Rezeptbearbeitung und der Abwicklung von Versicherungsansprüchen.

Die Ransomware-Gruppe BlackCat/ALPHV behauptete, für den Angriff verantwortlich zu sein und gab an, 6 TB sensible Patientendaten gestohlen zu haben. Anfang März führte BlackCat einen sogenannten „Exit Scam“ durch, nachdem angeblich 22 Millionen Dollar Lösegeld von UnitedHealth erhalten wurden.

Eine Woche später startete die US-Regierung eine Untersuchung, um herauszufinden, ob bei dem Ransomware-Angriff auf Optum Gesundheitsdaten gestohlen wurden.

Mitte April erhöhte die Erpressergruppe RansomHub den Druck auf UnitedHealth weiter, indem sie begann, das zu veröffentlichen, was sie als während des Angriffs gestohlene Unternehmens- und Patientendaten behaupteten. Am nächsten Tag berichtete die Organisation, dass der Cyberangriff finanzielle Schäden in Höhe von 872 Millionen Dollar verursacht hatte.

Daten gestohlen, Lösegeld gezahlt

In einer Erklärung für BleepingComputer bestätigte das Unternehmen, dass ein Lösegeld gezahlt wurde, um zu verhindern, dass die Patientendaten an Cyberkriminelle verkauft oder öffentlich geleakt werden.

„Ein Lösegeld wurde im Rahmen des Engagements des Unternehmens gezahlt, alles Mögliche zu tun, um die Patientendaten vor Offenlegung zu schützen“, erklärte die UnitedHealth Group.

BleepingComputer überprüfte die Datenleck-Website von RansomHub und kann bestätigen, dass der Bedrohungsakteur UnitedHealth von seiner Liste der Opfer entfernt hat.

Gestern veröffentlichte UnitedHealth ein Update auf seiner Website und kündigte Unterstützung für Personen an, deren Daten durch den Ransomware-Angriff im Februar offengelegt wurden, wodurch der Datenbruch offiziell bestätigt wurde.

„Basierend auf der bisherigen gezielten Datenstichprobe hat das Unternehmen Dateien gefunden, die geschützte Gesundheitsinformationen (PHI) oder persönlich identifizierbare Informationen (PII) enthalten, die einen erheblichen Teil der Bevölkerung in Amerika betreffen könnten“, heißt es in der Ankündigung.

„Bis heute hat das Unternehmen keine Beweise dafür gefunden, dass Materialien wie Arztakten oder vollständige Krankengeschichten unter den Daten sind“, sagt das Unternehmen.

Das Unternehmen versichert den Patienten, dass nur 22 Screenshots von gestohlenen Dateien, einige mit persönlich identifizierbaren Informationen, im Darknet veröffentlicht wurden und dass keine weiteren im Angriff exfiltrierten Daten „zu diesem Zeitpunkt“ veröffentlicht wurden.

Das Unternehmen für Gesundheitsversicherungen und -dienstleistungen versprach, personalisierte Benachrichtigungen zu senden, sobald die Untersuchung abgeschlossen ist und feststeht, welche Informationen kompromittiert wurden.

Zudem wurde ein spezielles Callcenter eingerichtet, das zwei Jahre lang kostenlose Dienste zur Überwachung der Kreditwürdigkeit und zum Schutz vor Identitätsdiebstahl anbietet, um die Betroffenen zu unterstützen.

Derzeit sind 99 % der betroffenen Dienste wieder in Betrieb, der medizinische Leistungsfluss erfolgt auf fast normalem Niveau, und die Zahlungsabwicklung liegt bei etwa 86 %.