Da quando la sua unità Change Healthcare è stata violata il 21 febbraio da un gruppo di hacker chiamato ALPHV, noto anche come "BlackCat", UnitedHealth ha dichiarato che sta lavorando per ripristinare i canali impattati e che alcuni dei suoi sistemi stanno tornando alla normalità. Sebbene non abbia fornito una tempistica per il recupero completo, gli analisti di cybersicurezza affermano che probabilmente è molto lontano.

"La quantità di interruzioni suggerisce che non hanno sistemi alternativi pronti", ha detto Chester Wisniewski, direttore della società di cybersicurezza Sophos. "Sono passati 13, 14 giorni, e questo è già un tempo più lungo di quello che mi sarei aspettato per l'avvio dei sistemi di backup".

Change elabora circa il 50% delle richieste mediche negli Stati Uniti per circa 900.000 medici, 33.000 farmacie, 5.500 ospedali e 600 laboratori. Circa 1 cartella clinica su 3 negli Stati Uniti viene toccata dalle sue offerte di tecnologia sanitaria, il che la rende un bersaglio interessante per gli hacker che cercano di accedere a un'ampia fetta di dati sanitari.

I clienti direttamente colpiti potrebbero vedere una soluzione prima, "ma per la parte posteriore ci vogliono un paio di mesi, o più di un anno", ha detto Wisniewski, che ha seguito questo tipo di violazioni per oltre 20 anni.

Un portavoce di UnitedHealth ha detto che l'azienda si è concentrata sull'investigazione dell'hack e sul ripristino delle operazioni presso Change Healthcare.

I funzionari degli Stati Uniti sono intervenuti per aiutare a contenere il caos derivante dalla violazione che ha colpito in modo particolare i fornitori di assistenza medica più piccoli, molti dei quali stanno lottando per elaborare i pagamenti.

Lo scorso anno, violazioni simili hanno colpito l'azienda di gioco d'azzardo MGM Resorts International e l'azienda di prodotti di consumo Clorox per mesi, costando a MGM almeno 100 milioni di dollari di danni e a Clorox un calo di oltre 350 milioni di dollari nelle vendite nette trimestrali.

"Riportare tutto alla normalità può essere un processo di molti mesi", ha detto Brett Callow, analista di ransomware con sede in Canada presso la società di cybersicurezza Emsisoft.

UnitedHealth non ha detto se ALPHV abbia chiesto un riscatto, ma un post su un forum di criminalità informatica online ha affermato che l'azienda ha pagato 22 milioni di dollari agli hacker per riottenere l'accesso ai suoi sistemi bloccati e a circa 8 terabyte, o 8 milioni di megabyte, di dati che sarebbero stati rubati.

Tale decodifica può richiedere "quantità irragionevoli di tempo, a seconda delle dimensioni dei file e dei sistemi in questione", ha dichiarato Kurtis Minder, cofondatore della società di cyber intelligence GroupSense.

Minder, che ha aiutato le organizzazioni vittime a negoziare con ALPHV, ha detto che le tempistiche di recupero variano da poche settimane a "molto tempo".

ALPHV non ha risposto alle richieste di commento. L'FBI statunitense, che di solito indaga su tali questioni, ha rifiutato di commentare l'hack.

ATTACCHI DI VENDETTA

Mesi prima che ALPHV intraprendesse il suo hack più dirompente, stava colpendo ospedali e piccoli fornitori di servizi sanitari.

Minder ha detto di aver aiutato diverse aziende, tra cui una clinica oculistica che era un obiettivo di ALPHV l'anno scorso, a negoziare con gli hacker.

"Tra i gruppi con cui abbiamo avuto a che fare con il ransomware, ALPHV è stato uno dei più antagonisti o difficili da trattare", ha detto Minder, aggiungendo che la banda è stata particolarmente persistente contro i suoi obiettivi e ostinata nel negoziare i riscatti.

Attiva almeno dal 2021, la banda di criminali informatici ALPHV, di lingua russa, fornisce il proprio software maligno e l'infrastruttura ad altri gruppi di hacker, ed era la seconda entità 'ransomware-as-a-service' più prolifica al mondo, fino a quando l'FBI non ha interrotto le sue operazioni a dicembre.

All'epoca, l'FBI aveva dichiarato di aver sequestrato molti siti web di ALPHV e di aver ottenuto informazioni sulla sua rete informatica. L'hack di Change ha sollevato domande sull'efficacia delle azioni dell'agenzia.

In risposta al sequestro dell'FBI, l'amministratore di ALPHV ha dato istruzioni ai suoi 'affiliati' di hacking di prendere di mira gli ospedali, secondo un avviso dell'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) sul gruppo della scorsa settimana.

Delle quasi 70 vittime note di ALPHV da metà dicembre, la maggior parte sono state nel settore sanitario, secondo il CISA.

Ci sono alcuni segnali che indicano che ALPHV potrebbe essere tranquillo per un po'. Dopo l'hack di Change Healthcare, la banda ha fatto un atto di sparizione.

Ma è comune per questi gruppi ribattezzarsi e risorgere, dicono gli analisti.

"Per distruggere veramente queste persone, bisogna arrestarle", ha detto Minder. Tali arresti sono difficili, ha detto, dato che queste bande hanno spesso sede in Paesi con cui gli Stati Uniti non hanno trattati di estradizione.