Perusahaan Change Healthcare menghadapi mimpi buruk keamanan cyber baru setelah kelompok ransomware mulai menjual apa yang diklaim sebagai catatan medis dan keuangan sensitif milik warga Amerika yang dicuri dari raksasa layanan kesehatan tersebut.
“Bagi sebagian besar individu AS yang meragukan kami, kami mungkin memiliki data pribadi Anda,” kata kelompok RansomHub dalam pengumuman yang dilihat oleh WIRED.
Data yang dicuri disebut mencakup catatan medis dan gigi, klaim pembayaran, detail asuransi, dan informasi pribadi seperti nomor Social Security dan alamat email, menurut tangkapan layar. RansomHub mengklaim memiliki data kesehatan personel militer AS yang sedang berdinas.
Pencurian dan penjualan data kesehatan sensitif yang meluas ini merupakan bentuk dampak baru yang dramatis dari serangan cyber pada bulan Februari terhadap Change Healthcare yang melumpuhkan operasi pembayaran klaim perusahaan dan membuat sistem kesehatan AS terombang-ambing karena rumah sakit kesulitan bertahan tanpa pendanaan reguler.
Change Healthcare, anak perusahaan UnitedHealth Group, sebelumnya mengakui bahwa kelompok ransomware yang dikenal sebagai BlackCat atau AlphV berhasil meretas sistemnya, dan mengatakan kepada WIRED minggu lalu bahwa mereka sedang menyelidiki klaim RansomHub tentang memiliki data yang dicuri dari perusahaan tersebut. Change Healthcare belum memberikan tanggapan atas permintaan komentar mengenai penjualan data yang diklaim oleh kelompok tersebut.
Beragamnya data pasien yang diklaim RansomHub sedang dijual adalah bukti peran Change Healthcare sebagai perantara kritis antara perusahaan asuransi dan penyedia layanan kesehatan, memfasilitasi pembayaran antara kedua belah pihak dan mengumpulkan banyak informasi sensitif tentang pasien dan prosedur medis mereka dalam proses tersebut.
Di antara catatan sampel yang diposting oleh RansomHub adalah daftar klaim terbuka yang ditangani oleh anak perusahaan EquiClaim perusahaan yang mencakup nama pasien dan penyedia; catatan rumah sakit untuk seorang wanita berusia 74 tahun di Tampa, Florida; dan sebagian dari catatan basis data terkait dengan layanan kesehatan anggota militer AS.
RansomHub mengatakan mereka akan memperbolehkan perusahaan asuransi individu yang bekerja dengan Change Healthcare dan memiliki data yang terancam untuk membayar tebusan untuk mencegah penjualan catatan mereka. Mereka menentukan bahwa mereka menjual data milik beberapa perusahaan asuransi besar.
“Pemrosesan data sensitif untuk semua perusahaan ini hanya sesuatu yang tidak masuk akal,” kata RansomHub dalam pengumumannya.
Brett Callow, seorang analis ancaman di perusahaan keamanan Emsisoft yang secara cermat melacak kelompok ransomware, mengatakan penjualan data yang dicuri kemungkinan “kurang tentang benar-benar menjual data” dan lebih tentang menempatkan tekanan tambahan pada Change Healthcare—dan perusahaan mitra yang catatannya gagal dilindungi—untuk membayar.
Change Healthcare tampaknya membayar tebusan sebesar $22 juta kepada AlphV untuk menghentikan mereka dari menyebarkan terabyte data yang dicuri.
Dua bulan setelah krisis yang dipicu oleh serangan ransomware, Change Healthcare menghadapi kerugian yang semakin meningkat. Perusahaan baru-baru ini melaporkan pengeluaran sebesar $872 juta untuk menanggapi insiden tersebut hingga 31 Maret.
Sementara itu, Change berada di bawah tekanan yang semakin meningkat dari para anggota parlemen dan regulator untuk menjelaskan kelalaian keamanan cyber mereka dan langkah-langkah yang mereka ambil untuk mencegah serangan lain.
Sebuah subkomite dari Komite Energi dan Perdagangan DPR mengadakan dengar pendapat tentang postur cyber sektor kesehatan pada hari Selasa, dengan anggota kunci parlemen mengatakan bahwa mereka kecewa karena UnitedHealth Group menolak untuk membuat eksekutif tersedia untuk memberikan kesaksian. Dan Departemen Kesehatan dan Layanan Kemanusiaan sedang menyelidiki apakah kegagalan Change Healthcare dalam mencegah peretas untuk mengakses dan mencuri datanya melanggar aturan keamanan data federal.