Mis à jour le 27 février 2024 pour inclure des commentaires supplémentaires.
Le Centre de partage et d’analyse des informations sur la santé a publié lundi un bulletin à la suite d’une cyberattaque du 21 février contre Change Healthcare, entraînant des interruptions généralisées du traitement des paiements.
POURQUOI EST-CE IMPORTANT
Health-ISAC a déclaré lundi dans un bulletin de renseignements sur les menaces que, sur la base des informations publiées par la société de renseignement RedSense, Change Healthcare et d’autres organisations ont été piratées via les vulnérabilités ConnectWise ScreenConnect – CVE-2024-1708 et CVE-2024-1709.
ScreenConnect est un logiciel de bureau à distance avec des déploiements sur site et dans le cloud.
ConnectWise a alerté les utilisateurs d’une faille d’exécution de code à distance qui peut être exploitée pour contourner l’authentification sur les serveurs ScreenConnect le 19 février et a conseillé à ses clients de mettre à jour immédiatement pour éviter les attaques, car davantage d’organisations seraient compromises, selon Health-ISAC.
“Nous nous attendons à voir des victimes supplémentaires dans les prochains jours”, ont déclaré les chercheurs.
Health-ISAC a également souligné que les organisations de soins de santé disposant de ConnectWise ScreenConnect dans leurs environnements examinent les indicateurs et recommandations spécifiques du bulletin.
Tandis que Change Healthcare, un fournisseur de logiciels et d’analyse de données qui fait partie d’Optum et appartient à UnitedHealth Group, a déclaré lundi dans une mise à jour publiée sur son site Web qu’il avait « un niveau élevé de confiance » dans le fait que les systèmes Optum et United n’ont pas été affectés par Suite au cyberincident, il a mis ses propres systèmes hors ligne.
“Une fois que nous avons pris conscience de la menace extérieure, et dans l’intérêt de protéger nos partenaires et nos patients, nous avons pris des mesures immédiates pour déconnecter les systèmes de Change Healthcare afin d’éviter tout impact supplémentaire”, a déclaré la société dans la mise à jour. “Cette mesure a été prise pour que nos clients et partenaires n’aient pas besoin de le faire.”
Health-ISAC a conseillé aux organisations de considérer les risques et les conséquences d’un désengagement également d’Optum, ce qui affecterait les autorisations de procédures antérieures, la prescription électronique et d’autres fonctions de soins aux patients.
“En fin de compte, votre organisation devrait prendre sa propre décision quant au blocage ou non d’Optum spécifiquement, tout en considérant tous les risques et conséquences d’une telle action”, a déclaré l’organisation.
L’American Hospital Association a également publié lundi un avis à l’intention de ses membres concernant son alignement sur les recommandations en matière de renseignement sur les menaces.
Dans une alerte précédente, l’AHA avait recommandé à tous les organismes de santé perturbés ou potentiellement exposés d’envisager de se déconnecter d’Optum jusqu’à ce qu’il soit jugé sûr de se reconnecter.
Selon un courriel envoyé mardi par United Health Group, plus de 90 % des pharmacies du pays ont modifié le traitement électronique des réclamations pour atténuer les impacts découlant de la violation de Change Healthcare et ont mis en œuvre des solutions de contournement pour le traitement hors ligne.
“Optum Rx et UnitedHealthcare voient des rapports minimes, dont moins de 100 sur plus de 65 millions. [pharmacy benefit manager] les membres ne peuvent pas obtenir leurs ordonnances”, a déclaré un porte-parole.
LA PLUS GRANDE TENDANCE
Reuters a rapporté lundi que la source de l’attaque à l’origine des perturbations dans les pharmacies était le gang du ransomware Blackcat, selon des sources citant Mandiant d’Alphabet pour gérer la réponse à l’incident.
En décembre, le FBI a annoncé avoir saisi les serveurs de Blackcat et son site Web, mais le groupe de rançongiciels a affirmé dans une note envoyée à Krebs sur la sécurité qu’il avait libéré le serveur et offrirait à ses affiliés une commission de 90 %.
Blackcat a attaqué de nombreux hôpitaux, selon John Riggi, conseiller national de l’AHA pour la cybersécurité et les risques.
“Cela montre également à quel point il est essentiel pour les victimes de cyberattaques et le secteur de la santé d’échanger des renseignements sur les cybermenaces avec le gouvernement”, a-t-il déclaré lorsque le FBI a annoncé qu’il disposait de clés de décryptage pour les victimes du ransomware Blackcat.
“Au-delà des implications immédiates pour les personnes concernées, de telles violations ont des conséquences considérables, ébranlant les fondements de la confiance dans la capacité des systèmes de santé à protéger les données personnelles” et stimulant les investissements dans les technologies qui renforcent les cyberdéfenses, Lisa Plaggetier, directrice exécutive du National Cybersecurity Alliance, a déclaré mardi dans un courriel adressé à Actualités informatiques de la santé.
SUR LE DOSSIER
“Indépendamment de ce qui s’est passé chez Change Healthcare, RedSense prévoit que davantage d’organisations seront compromises car l’exploit ScreenConnect est apparemment assez simple à exécuter”, ont déclaré les chercheurs de Health-ISAC dans le bulletin.
“Lorsque l’on envisage la connectivité aux systèmes Change Healthcare non impactés, chaque organisation de soins de santé doit peser les éventuelles perturbations cliniques et les impacts commerciaux causés par la rupture de la connexion aux systèmes Optum, Change Healthcare, UnitedHealthcare et/ou United Health Group non impactés”, a déclaré l’AHA dans un communiqué.
Andrea Fox est rédactrice en chef de Healthcare IT News.
Courriel : [email protected]
Healthcare IT News est une publication HIMSS Media.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/LXL2SD2UCCB5BQ4NGTVGLSH5GM.jpg)
