# Change Healthcare - ALPHV BlackCat (Fevereiro 2024) > [!danger] Maior Disrupcao de Saúde da Historia Américana > Em 21 de fevereiro de 2024, a **Change Healthcare** - subsidiaria da UnitedHealth Group que processa **15 bilhoes de transações de saúde por ano** (um em cada tres registros medicos americanos) - sofreu ataque do grupo [[alphv-blackcat]] (ALPHV / BlackCat). O impacto foi catastrofico: **farmácias incapazes de processar prescricoes**, **hospitais sem receber pagamentos de planos de saúde**, **registros de pacientes inacessiveis** por semanas. A UnitedHealth pagou **US$ 22 milhões** em Bitcoin ao grupo. O desfecho foi inesperado: o ALPHV **pegou o dinheiro e desapareceu** - realizando um "exit scam" contra o proprio afiliado que executou o ataque. O afiliado, furioso, afirmou ter retido dados e migrou para o **[[ransom-hub]]**, que realizou extorsao adicional. --- ## Attack Flow ```mermaid graph TB A["🔓 Acesso via Citrix sem MFA<br/>Credenciais compradas ou phishing<br/>Portal Citrix da Change Healthcare"] --> B["🔍 Reconhecimento 9 Dias<br/>Mapeamento de rede extensa<br/>Identificação de sistemas criticos"] B --> C["💾 Exfiltração: 6 TB de Dados<br/>Registros medicos de 190M americanos<br/>Informacoes PII e financeiras"] C --> D["🔐 ALPHV BlackCat Deploy<br/>Criptografia de sistemas criticos<br/>Processamento de reivindicacoes offline"] D --> E["💸 US$ 22M BTC Pagos<br/>Maior resgaté healthcare da historia<br/>UnitedHealth confirma pagamento"] E --> F["🚪 ALPHV Exit Scam<br/>Desaparece com os US$ 22M<br/>Afiliado fica sem parte do pagamento"] F --> G["😡 Afiliado Migra para RansomHub<br/>Extorsao adicional com os 6 TB<br/>Deadline para novo pagamento"] ``` --- ## A Change Healthcare e seu Papel no Sistema de Saúde A Change Healthcare era um intermediario critico invisivel na saúde americana. Processava **1 bilhao de transações por mes** - autorizacoes de plano de saúde, pagamento a medicos e hospitais, processamento de prescricoes em farmácias. Era literalmente a plataforma de comunicação financeira entre: - **Pacientes** e seus planos de saúde - **Médicos e hospitais** e seus reembolsos - **Farmácias** e autorizacoes de dispensacao A consequência do ataque foi imediata e amplamente distribuida: - **Farmácias** nao conseguiam verificar cobertura de planos ou processar prescricoes - pacientes pagavam do bolso - **Hospitais** nao recebiam reembolsos - gerando crises de fluxo de caixa - **Medicos** sem acesso a historicos e autorizacoes O Governo americano (HHS/CISA) classifica a disrupcao como **maior impacto a infraestrutura de saúde da historia americana**. --- ## O Acesso Inicial: Citrix sem MFA O vetor de entrada revelado pela investigação: **credenciais do portal Citrix** da Change Healthcare - obtidas via compra em mercado de acesso inicial ou phishing. O mais critico: **o portal Citrix nao tinha autenticação multi-fator habilitado**. Para uma empresa processando um taco de dados de saude de 190 milhoes de americanos, a ausencia de MFA num portal de acesso remoto foi considerada negligencia grave. A UnitedHealth foi severamente criticada por reguladores e legisladores. O CEO Brian Thompson compareceu ao Congresso americano para explicar a falha - e foi assassinado em dezembro de 2024 em Nova York, por razoes aparentemente relacionadas a raiva de clientes prejudicados por práticas do setor. --- ## O Exit Scam do ALPHV O desfecho foi incomum no ecossistema de ransomware. Após receber os US$ 22 milhões, o **ALPHV realizou um exit scam**: fingiu que havia sido "hackeado" e derrubado pelo FBI (uma farsa - o FBI confirmou que nao havia tomado controle naquele momento), e desapareceu com todo o dinheiro. O afiliado que executou o ataque ficou sem sua parte (tipicamente 70-80% do resgaté no modelo RaaS). Com 6 TB de dados exfiltrados em maos, o afiliado migrou para o **[[ransom-hub]]** - grupo rival - e anunciou ter os dados e um novo deadline para pagamento adicional. O episodio demonstrou que **afiliados de RaaS também sao vitimas potenciais de seus proprios operadores** - e que a "confiança" no ecossistema criminoso e táticamente explorada. --- ## Impacto Regulatorio O ataque desencadeou acao legislativa e regulatoria agressiva: - **HHS HIPAA**: investigação formal sobre se a Change Healthcare violou obrigações de segurança - **Congresso**: audiencias sobre resiliencia da infraestrutura de saude digital - **CISA**: novas guidelines de MFA obrigatorio para saude - **Reembolso emergencial**: HHS liberou pagamentos acelerados a hospitais afetados A UnitedHealth estimou o custo total do incidente em **mais de US$ 870 milhoes** em 2024. --- ## Impacto para o Brasil O setor de saúde brasileiro opera com plataformas de interoperabilidade similares - operadoras de planos de saúde, hospitais e farmácias dependem de clearinghouses digitais. O caso Change Healthcare foi estudado pela [[anpd]], CFM e ANS (Agencia Nacional de Saúde Suplementar). O Brasil tem infraestrutura similar de risco: a **TISS** (Troca de Informacoes em Saúde Suplementar) e sistemas de autorização de procedimentos entre planos e prestadores. Uma disrupcao similar afetaria diretamente milhões de pacientes. --- ## Cronologia do Incidente | Data | Evento | |------|--------| | 12 Fev 2024 | ALPHV acessa rede via Citrix sem MFA | | 21 Fev 2024 | Ransomware executado - sistemas offline | | 22 Fev 2024 | Change Healthcare confirma ataque publicamente | | Mar 2024 | UnitedHealth paga US$ 22M em Bitcoin | | 4 Mar 2024 | ALPHV anuncia "hack" proprio e desaparece | | Mar 2024 | Afiliado migra para RansomHub com os dados | | Abr 2024 | HHS anuncia investigação HIPAA | | Abr 2024 | RansomHub publica amostra dos 6 TB | --- ## Referências CTI | Elemento | Ligacao | |----------|---------| | Threat Actor | [[alphv-blackcat]] - ALPHV BlackCat | | Sucessor extorsao | [[ransom-hub]] - afiliado migrado | | Conexão | [[darkside-ransomware]] - ALPHV e sucessor | | Técnica MITRE | [[t1133-external-remote-services]] - Citrix sem MFA | | Técnica MITRE | [[t1486-data-encrypted-for-impact]] | | Técnica MITRE | [[t1657-financial-theft]] - extorsao | | Setor | [[healthcare]] | | Evento anterior | [[2023-01-royal-mail]] | | Evento relacionado | [[2019-12-trickbot-ryuk-hospital]] | --- > [!info] Navegacao - Eventos Relacionados > [[2019-12-trickbot-ryuk-hospital]] | [[2023-01-royal-mail]] | [[alphv-blackcat]] | [[_timeline]]