# Change Healthcare Attack 2024 > [!critical] O maior ataque de ransomware à saúde da história - US$ 22 milhões de resgate e 15 bilhões de transações paralisadas por semanas > Em 21 de fevereiro de 2024, o grupo ALPHV/BlackCat comprometeu a Change Healthcare - subsidiária da UnitedHealth Group que processa 50% das transações de saúde nos EUA. O acesso inicial foi via credencial roubada sem MFA em portal Citrix. Seis terabytes de dados foram exfiltrados, o resgate de US$ 22 milhões foi pago, e o grupo RansomHub realizou um segundo ataque exigindo novo pagamento pelos mesmos dados. ## Visão Geral A Change Healthcare atua como intermediária de faturamento e pagamento para hospitais, farmácias, planos de saúde e clínicas em todo os Estados Unidos. Com 15 bilhões de transações processadas anualmente e presença em mais de 40.000 farmácias americanas, o ataque paralisou um dos componentes mais críticos da infraestrutura de saúde do país por semanas. O acesso inicial ocorreu em 12 de fevereiro de 2024 - nove dias antes da encriptação ser ativada. O vetor foi uma credencial legítima de acesso ao portal Citrix da empresa, obtida provavelmente por infostealer. O ponto crítico: a conta comprometida não tinha Autenticação Multi-Fator (MFA) habilitada. Com acesso remoto legítimo, o grupo [[alphv-blackcat|ALPHV/BlackCat]] se moveu lateralmente pela rede, escalou privilégios, identificou sistemas críticos e extraiu aproximadamente 6TB de dados sensíveis contendo informações de saúde de um terço da população americana. Em 21 de fevereiro, o ransomware foi ativado, derrubando sistemas em toda a infraestrutura da Change Healthcare. A paralisia foi imediata e devastadora: farmácias não conseguiam verificar coberturas de seguro, hospitais não podiam enviar cobranças, clínicas ficaram sem autorização de procedimentos. O [[government|HHS]] (Departamento de Saúde) ativou medidas de emergência e o Congresso convocou o CEO da UnitedHealth para testemunhar. A [[unitedhealth-group|UnitedHealth Group]] pagou US$ 22 milhões em Bitcoin ao ALPHV/BlackCat em março de 2024. Porém, antes de repassar a parcela do afiliado, o grupo encerrou as operações em um movimento de **exit scam** - desapareceu com o pagamento completo. O afiliado que conduziu o ataque, sem receber sua parcela, migrou para o grupo [[s1212-ransomhub|RansomHub]] e realizou um segundo ataque exigindo novo resgate pelos mesmos 6TB de dados. ## Attack Flow ```mermaid graph TB A["Credencial Roubada<br/>Acesso Citrix sem MFA<br/>12 de fevereiro 2024"] --> B["Reconhecimento<br/>9 dias de movimentação<br/>lateral silenciosa"] B --> C["Escalada de Privilégios<br/>Acesso a domínio e<br/>sistemas de produção"] C --> D["Exfiltração<br/>6TB de dados sensíveis<br/>informações de 1/3 dos americanos"] D --> E["Ransomware Ativado<br/>21 fevereiro - sistemas<br/>Change Healthcare paralisados"] E --> F["Impacto Sistêmico<br/>40.000 farmácias<br/>15B transações interrompidas"] F --> G["Duplo Resgate<br/>ALPHV recebe USD 22M<br/>RansomHub exige novo pagamento"] ``` > **Grupo:** ALPHV/BlackCat, RansomHub | **Vetor:** Citrix sem MFA | **Impacto:** 6TB exfiltrado, USD 22M resgate, 15B transações paralisadas ## Cronologia ```mermaid timeline title Change Healthcare Attack 2024 2024-02-12 : ALPHV obtém acesso via credencial Citrix sem MFA 2024-02-21 : Ransomware ativado - Change Healthcare para imediatamente 2024-02-22 : UnitedHealth Group declara incidente de segurança 2024-03-01 : HHS ativa medidas de emergência para o setor de saúde 2024-03-08 : ALPHV recebe USD 22M em Bitcoin - exit scam imediato 2024-03-13 : ALPHV encerra operações - afiliado sem receber parcela 2024-04-01 : RansomHub assume dados - exige segundo resgate pelos 6TB 2024-05 : CEO da UnitedHealth Group testemunha perante o Congresso dos EUA ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credencial legítima Citrix sem MFA como vetor inicial | | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Movimento lateral via RDP após comprometimento inicial | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware criptografando sistemas críticos de faturamento | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Destruição de backups e pontos de restauração | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | 6TB exfiltrados antes da encriptação | | Disable or Modify Tools | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativação de ferramentas de segurança antes do ransomware | ## Vítimas e Impacto **Escala do impacto nos EUA:** - 15 bilhões de transações de saúde paralisadas - 40.000+ farmácias incapazes de verificar coberturas de seguro - Dados de saúde de aproximadamente 100 milhões de americanos (1 em cada 3) potencialmente expostos - 6TB de dados exfiltrados incluindo: dados de pacientes, registros médicos, informações de pagamento **Impacto financeiro:** - US$ 22 milhões pagos em resgate (março 2024) - US$ 872 milhões em perdas operacionais reportadas pela UnitedHealth (Q1 2024) - Custo total estimado superior a US$ 1 bilhão incluindo remediação e litígios - Múltiplos processos judiciais de pacientes e prestadores de saúde **Precedente regulatório:** - HHS abriu investigação sobre conformidade com HIPAA - Congresso convocou CEO para audiência pública - Propostas de legislação para fortalecer requisitos de cibersegurança no setor de saúde ## Relevância LATAM e Brasil O ataque à Change Healthcare não teve impacto operacional direto no Brasil, mas estabeleceu precedentes críticos para o setor de saúde brasileiro: - **Modelo de ataque replicável**: o vetor de credencial sem MFA em acesso remoto é idêntico ao explorado em hospitais e operadoras de plano de saúde brasileiras - **Regulação brasileira**: o Brasil, via [[anpd|ANPD]] e [[lgpd|LGPD]], enfrenta o mesmo desafio de proteção de dados de saúde - um incidente similar em operadora brasileira geraria multas de até 2% do faturamento nacional - **Setor de saúde vulnerável**: hospitais e clínicas brasileiras combinam dados sensíveis (TISS, prontuários, laudos) com maturidade de segurança historicamente baixa - **Infraestrutura de faturamento**: integrações via [[ans|ANS]] e operadoras de planos de saúde criam dependências similares às que tornaram a Change Healthcare ponto único de falha O caso demonstrou que ataques de ransomware a intermediários críticos (clearinghouses, processadores de pagamento de saúde) multiplicam o impacto - uma única organização comprometida paralisa toda a cadeia de prestadores que depende dela. ## Mitigação **Controles imediatos (lições diretas do incidente):** - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA obrigatório em TODOS os serviços de acesso remoto, sem exceções - Auditar contas com acesso a portais Citrix, VPN e RDP para garantir que nenhuma opere sem MFA - Monitorar acessos de contas legítimas em horários atípicos - vetor usado por 9 dias antes da encriptação **Controles estratégicos:** - Implementar [[m1030-network-segmentation|M1030]] - segmentar redes de faturamento, prontuários e produção - Aplicar [[m1026-privileged-account-management|M1026]] - contas de serviço Citrix não devem ter acesso irrestrito a domínio - Desenvolver plano de continuidade de negócios (BCP) para indisponibilidade de sistemas de faturamento - Monitorar via [[ds-0028-logon-session|DS-0028]] - alertas para logins de credenciais em localidades incomuns ## Referências - [1](https://www.hhs.gov/hipaa/for-professionals/special-topics/change-healthcare-cybersecurity-incident/index.html) HHS.gov - Change Healthcare Cybersecurity Incident (2024) - [2](https://www.bleepingcomputer.com/news/security/alphv-blackcat-claims-responsibility-for-change-healthcare-cyberattack/) BleepingComputer - ALPHV BlackCat Claims Responsibility for Change Healthcare Attack (2024) - [3](https://www.wired.com/story/change-healthcare-ransomware-attack-fallout/) WIRED - Change Healthcare Ransomware Attack (2024) - [4](https://www.reuters.com/business/healthcare-pharmaceuticals/unitedhealth-paid-ransom-hackers-change-healthcare-2024-04-22/) Reuters - UnitedHealth Paid Ransom to Hackers (2024) - [5](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a) CISA - ALPHV Blackcat Ransomware (Update) (2024) - [6](https://therecord.media/change-healthcare-breach-100-million-records) The Record - Change Healthcare Breach Affects 100 Million Records (2024)