O CEO da UnitedHealth, Andrew Witty, admite que pagou US$ 22 milhões de resgate a hackers

A provedora de seguros de saúde UnitedHealth pagou um resgate multimilionário a hackers que invadiram uma de suas subsidiárias, interrompendo prestadores de serviços de saúde em todo o país durante meses, confirmou o CEO Andrew Witty na quarta-feira.

Numa audiência perante a Comissão de Finanças do Senado, Witty disse que a decisão de pagar o resgate de 22 milhões de dólares foi inteiramente dele. “Esta foi uma das decisões mais difíceis que já tive que tomar”, disse ele. A UnitedHealth admitiu no mês passado que pagou um resgate aos hackers que violaram o sistema Change Healthcare – que é propriedade da UnitedHealth – mas não revelou a quantia. Em março, a empresa atribuiu a violação à BlackCat, a mesma entidade responsável pelo hack do cassino MGM em Las Vegas. Nesse mesmo mês, Com fio informou que BlackCat, que também atende por ALPHV, recebeu uma transação de US$ 22 milhões em Bitcoin em 1º de março.

A BlackCat afirmou anteriormente que obteve mais de seis terabytes de dados como parte do hack, realizado em fevereiro deste ano. A gangue de ransomware disse que os dados incluíam registros médicos “confidenciais”, de acordo com a CBS News.

“Os criminosos usaram credenciais comprometidas para acessar remotamente o portal Change Healthcare Citrix, um aplicativo usado para permitir acesso remoto a desktops”, disse Witty durante seu depoimento, acrescentando que o portal “não tinha autenticação multifatorial”.

“Este hack poderia ter sido interrompido com segurança cibernética 101”, disse o senador Ron Wyden (D-OR), presidente do comitê. Depois que Witty confirmou que a United exigirá autenticação multifatorial em toda a empresa daqui para frente, Wyden disse que “não deveria ter sido necessário o pior ataque cibernético de todos os tempos no setor de saúde para um acordo que fizesse esse mínimo”.

Os efeitos do hack foram de longo alcance. Depois que a violação foi descoberta, a United fechou o sistema Change Healthcare por uma semana, o que impediu que hospitais, clínicas e farmácias em todo o país fossem pagos. Durante a audiência, Witty disse que o sistema agora “volta ao normal”. Mas alguns senadores disseram a Witty que hospitais e outros prestadores de cuidados de saúde ainda aguardam pagamentos. Wyden (D-OR) disse a Witty que alguns provedores que entraram com ações em fevereiro foram informados de que teriam que esperar até junho para receber o pagamento.

A UnitedHealth gerencia mais de um terço de todos os registros de pacientes nos EUA e supervisiona 1 em cada 10 médicos em todo o país, de acordo com uma carta que a American Hospital Association enviou ao Departamento de Saúde e Serviços Humanos em março. Em seus comentários iniciais, Wyden chamou a United de “leviatã da saúde” e descreveu o hack como um “terrível aviso sobre as consequências de megacorporações grandes demais para falir”.

theverge