Rançongiciel Change Healthcare (ALPHV/BlackCat)
ALPHV/BlackCat a compromis Change Healthcare via un portail Citrix sans MFA, paralysé les remboursements d’ordonnances aux États-Unis pendant des semaines et exfiltré les données d’environ 100 millions de personnes.
- Victime
- Change Healthcare (UnitedHealth Group)
- Perte
- $2.87B
- données
- 100.0M
- utilisateurs
- 100.0M
En février 2024, les opérateurs de ALPHV/BlackCat ont compromis Change Healthcare, filiale de UnitedHealth Group qui traite plus du tiers des transactions de remboursement de santé aux États-Unis. Les attaquants sont entrés via un portail Citrix d’accès distant sans authentification multifacteur, ont utilisé des identifiants volés et sont restés neuf jours dans le réseau avant de déclencher leur charge utile le 21 février 2024.
Ce qui s’est passé
Change Healthcare a immédiatement déconnecté ses systèmes, mais l’onde de choc opérationnelle a été massive : les pharmacies américaines n’ont plus pu vérifier les couvertures, les hôpitaux n’ont plus pu facturer Medicare ou les assurances privées, et de petites cliniques se sont retrouvées en pénurie de trésorerie. La perturbation a duré des semaines.
Le 3 mars 2024, des analystes blockchain ont identifié un transfert d’environ 22 millions de dollars en bitcoin vers une adresse liée à ALPHV — interprété comme le paiement de la rançon. Les opérateurs d’ALPHV ont ensuite arnaqué leur propre affilié, qui a divulgué les données volées et lancé une seconde tentative d’extorsion sous la marque RansomHub.
Conséquences
- Environ 100 millions de personnes ont vu leurs informations personnelles et de santé volées — la plus grande fuite de données de santé jamais enregistrée aux États-Unis.
- Coût total pour UnitedHealth Group : plus de 2,87 milliards de dollars.
- Pharmacies, hôpitaux et traitement des demandes Medicare perturbés pendant des semaines ; le HHS a versé des paiements d’avance d’urgence aux prestataires.
- Auditions au Congrès sur la cybersécurité dans la santé et la résilience des infrastructures de paiement consolidées.
Pourquoi c’est important
Un seul portail d’accès distant sans MFA, chez un intermédiaire de facturation, a paralysé une part significative du système de santé américain. L’incident est désormais un cas de référence pour le risque de concentration sur les tiers dans les infrastructures critiques — et pour rappeler que la MFA sur tous les portails exposés n’est pas optionnelle.
Impact financier
Coûts déclarés en USD
- Rançon payée$22.0M
- Perte d’exploitation$2.40B
- Remédiation$280.0M
- Amendes & règlements$170.0M
Chronologie
ALPHV/BlackCat accède à Change Healthcare via un portail Citrix sans authentification multifacteur.
Change Healthcare détecte l’intrusion et déconnecte ses systèmes, interrompant le traitement des ordonnances aux États-Unis.
Un transfert d’environ 22 millions de dollars en bitcoin est observé vers une adresse associée à ALPHV.
UnitedHealth Group confirme que les données personnelles et de santé d’une part importante des Américains ont été volées.
Une seconde extorsion est lancée par RansomHub, qui prétend détenir les mêmes données.
Le PDG d’UnitedHealth témoigne au Congrès ; le coût total est estimé à plus de 2,4 milliards de dollars.
Le HHS confirme qu’environ 100 millions de personnes ont été touchées — la plus grande fuite de données de santé jamais enregistrée aux États-Unis.
Sources
- unitedhealthgroup.comhttps://www.unitedhealthgroup.com/newsroom/2024/2024-04-22-uhg-update-cyberattack.html
- hhs.govhttps://www.hhs.gov/about/news/2024/03/05/letter-to-health-care-leaders-cyberattack-change-healthcare.html
- reuters.comhttps://www.reuters.com/business/healthcare-pharmaceuticals/change-healthcare-hack-impacts-an-estimated-100-million-individuals-us-says-2024-10-24/