美國健康保險巨擘UnitedHealth坦承向駭客支付贖金

UnitedHealth Group執行長Andrew Witty在本周三（5/1）舉行的參議院聽證會中，首度對外證實旗下服務Change Healthcare在今年2月遭到勒索軟體攻擊之後，由他決定向駭客支付了贖金。

UnitedHealth Group為一健康保險集團，去年創造3,240億美元的營收，是美國的第五大企業。被駭的Change Healthcare為子公司Optum在2021年買下的，主要提供醫療業者的收入周期管理、支付管理，以及健康資訊交換解決方案，每年處理150億筆的醫療照護交易，涉及1/3的美國病患紀錄，此外，根據調查，此一攻擊行動影響了美國9成醫院的財務，還有7成醫院宣稱該事故影響它們照顧病人的能力，也讓美國參議院財政委員會對此一事件展開調查。

在攻擊行動發生後，安全研究人員即發現勒索軟體組織BlackCat的錢包中收到了價值2,200萬美元的比特幣，並懷疑是由UnitedHealth所支付的贖金，卻一直未得到UnitedHealth的證實，然而，Witty在本周的聽證會上坦承，在面對此次攻擊時遇到許多挑戰，包括處理贖金要求，他以盡一切努力來保護人們的健康資訊為首要之務，因此決定支付贖金，而這也是他做過最艱難的決定之一。

Witty也揭露了該公司對整起攻擊事件的處理程序，指出駭客是在2月12日藉由外洩的憑證自遠端存取Change Healthcare Citrix入口網站，該站並未支援雙因素身分驗證，成功滲透的駭客便在系統內汲取資訊，一直到9天後才部署了勒索軟體。

在察覺Change Healthcare的系統被加密之後，該公司迅速切斷Change Healthcare的連結環境，並在21日迎來了來自Google、微軟、思科及Amazon的專家，再加上Mandiant和Palo Alto Networks的安全團隊，開始重新打造Change Healthcare的技術基礎設施，包括更換了數千臺筆記型電腦，輪替憑證，重建Change Healthcare的資料中心網路與核心服務，提高新的伺服器容量，在短短的幾周內便交付了一個在正常情況下、需要幾個月才能完成的全新技術環境。

Witty表示，此一攻擊事件表明，加強醫療照護網路安全的需求日益增加，期待政策制定者與其它利益方合作，以制定強大與實用的解決方案。