Um dos maiores e mais preocupantes incidentes de segurança cibernética da história dos Estados Unidos ocorreu em fevereiro, quando mais de 100 milhões de indivíduos tiveram informações privadas de saúde comprometidas devido a um ataque de ransomware que afetou a Change Healthcare. Este evento trouxe meses de interrupções sem precedentes e significativas perturbações em todo o setor de saúde dos EUA. É a primeira vez que o UnitedHealth Group, a empresa de seguros de saúde que controla a Change Healthcare, apresenta um número claro de indivíduos impactados por essa violação de dados, após anunciar anteriormente que esperava que a conta afetasse uma “proporção substancial de pessoas na América”. A atualização desse dado foi revelada pelo Departamento de Saúde e Serviços Humanos dos EUA em seu portal dedicado a violações de dados, na última quinta-feira. A grandiosidade dessa violação criou um cenário alarmante, com consequências que provavelmente se estenderão pela vida dos milhões de americanos cujas informações médicas privadas foram irremediavelmente roubadas.
A notificação aos indivíduos impactados começou no final de julho e se estendeu até outubro, e os dados pessoais roubados variam de acordo com cada caso. A Change Healthcare havia confirmado anteriormente que as informações abrangem dados pessoais como nomes, endereços, datas de nascimento, números de telefone, endereços de e-mail e documentos de identificação, incluindo números de Segurança Social, carteiras de motorista e passaporte. Além disso, as informações de saúde roubadas incluem diagnósticos, medicações, resultados de testes, imagens, planos de cuidado e tratamento, além de dados de seguros de saúde e informações financeiras encontradas em reivindicações e dados de pagamento que foram sequestrados. A Change Healthcare, sendo uma das maiores gestoras de dados de saúde e registros de pacientes nos EUA, processa informações de seguro e faturamento para milhares de hospitais, farmácias e práticas médicas, gerenciando dados relacionados à saúde de cerca de um terço de todos os americanos, conforme declarado pelo seu CEO Andrew Witty durante depoimento a legisladores em maio.
O ataque cibernético foi inicialmente tornado público no dia 21 de fevereiro, quando a Change Healthcare retirou grande parte de sua rede do ar para conter os intrusos, resultando em quedas imediatas em todo o setor de saúde que dependia da Change para gerenciamento de seguro e faturamento de pacientes. O UHG atribuiu o ataque cibernético ao grupo de ransomware ALPHV/BlackCat, uma gangue de extorsão de fala russa, que mais tarde assumiu a responsabilidade pela invasão. Estranhamente, os líderes do grupo desapareceram após fugir com um resgate de 22 milhões de dólares pagos pela gigante do seguro de saúde, deixando os contratados, que executaram a invasão, sem a nova fortuna. Os contratados, então, criaram um novo grupo com os dados roubados da Change Healthcare e extorquiram um segundo resgate do UHG, ao mesmo tempo em que publicaram parte dos arquivos roubados online para provar sua ameaça.
Não há evidências de que os cibercriminosos tenham excluído os dados posteriormente. Outras gangues de extorsão, como a LockBit, demonstraram acumular dados roubados mesmo após a vítima realizar o pagamento, alegando ter deletado as informações. Ao pagar o resgate, a Change conseguiu uma cópia do conjunto de dados roubados, permitindo identificar e notificar os indivíduos afetados cujas informações estavam presentes nesse conjunto de dados. Os esforços do governo dos EUA para capturar os hackers por trás da ALPHV/BlackCat, um dos grupos de ransomware mais ativos atualmente, falharam até o momento. O grupo conseguiu se reerguer após uma operação que visava desmantelar seu site de vazamento na dark web.
Meses após a violação da Change Healthcare, o Departamento de Estado dos EUA aumentou a recompensa para informações sobre o paradeiro dos cibercriminosos da ALPHV/BlackCat para 10 milhões de dólares. Enquanto isso, partes da rede da Change Healthcare continuam fora do ar, enquanto a empresa se recupera do ciberataque ocorrido em fevereiro. Legisladores também estão investigando a violação e seu impacto sobre os milhões de americanos cujos dados de saúde foram irremediavelmente roubados. Durante uma audiência na Câmara sobre o ciberataque em abril, o CEO do UnitedHealth, Andrew Witty, confirmou que os cibercriminosos conseguiram invadir um de seus sistemas de funcionários utilizando credenciais roubadas que não estavam protegidas com autenticação multifatorial (MFA), um recurso de segurança que pode ajudar a proteger contra o uso indevido de senhas. Ao obter acesso a um sistema interno crítico apenas com uma senha roubada, a gangue de ransomware conseguiu acessar outras partes da rede da Change Healthcare e implantar o ransomware.
A razão pela qual o sistema não foi protegido por MFA permanece incerta, mas isso certamente será uma parte essencial das investigações em andamento por parte dos legisladores e do governo. Witty informou aos legisladores que a organização já implementou e agora exige MFA após o ciberataque. Os legisladores se concentraram em como o UHG lida com uma quantidade tão grande de dados e gera uma receita considerável, ao mesmo tempo em que falha em manter uma cibersegurança básica. De acordo com seu relatório financeiro anual de 2023, o UHG obteve um lucro de 22 bilhões de dólares sobre receitas de 371 bilhões de dólares. O CEO do UHG, Witty, recebeu 23,5 milhões de dólares em compensação executiva no mesmo ano. Enquanto a falta de MFA foi explorada neste caso, a enorme quantidade e riqueza dos dados altamente sensíveis que a Change Healthcare coleta e armazena tornaram-na um alvo em si mesma, segundo os legisladores. A Change Healthcare se fundiu com o provedor de saúde dos EUA Optum em 2022, parte de um acordo de 7,8 bilhões de dólares pelo UnitedHealth Group. O acordo uniu os dois gigantes da saúde sob o UHG e permitiu que a Optum, proprietária de grupos de médicos e fornecedora de tecnologia e dados para seguradoras e serviços de saúde, tivesse amplo acesso aos registros de pacientes geridos pela Change.
O UnitedHealth Group fornece, coletivamente, planos de benefícios para mais de 53 milhões de clientes nos EUA e outros 5 milhões fora do país, conforme um recente relatório financeiro anual. A Optum atende cerca de 103 milhões de clientes nos EUA. O acordo enfrentou escrutínio das autoridades antitruste federais dos EUA, que processaram para impedir que o UHG comprasse a Change Healthcare e a fundisse com a Optum, argumentando que o UnitedHealth teria uma vantagem competitiva injusta ao ter acesso a “cerca da metade de todas as reivindicações de seguros de saúde da América a cada ano”. Um juiz acabou aprovando o acordo. O Departamento de Justiça supostamente começou a intensificar sua investigação sobre o UHG e suas possíveis práticas anticompetitivas nos meses que antecederam o hack da Change Healthcare.