Change Healthcare victime d'une intrusion via un portail Citrix sans MFA

UnitedHealth Group a confirmé que le groupe BlackCat/Alphv ransomware a pénétré dans la système d'information de Change Healthcare en février en utilisant des informations d'identification compromises pour un portail d'accès à distance Citrix pour lequel l'authentification à facteurs multiples n'était pas activée.

Lundi, une déclaration préparée par Andrew Witty, PDG du UnitedHealth Group, intitulée « Examiner la cyberattaque de Change Healthcare », a été publiée avant l'audition de mercredi de la sous-commission de la commission de l'énergie et du commerce de la Chambre des représentants sur la surveillance et les enquêtes. Andrew Witty a reconfirmé qu'Alphv/BlackCat était à l'origine de l'attaque contre sa filiale technologique Change Healthcare, qui fournit divers services, notamment de gestion financière et administrative, aux établissements médicaux et aux pharmacies.

Le 21 février, Change Healthcare a révélé qu'il subissait des interruptions de réseau qui ont ensuite longuement affecté les patients, les prestataires de soins de santé et les pharmaciens. Depuis, UnitedHealth a confirmé qu'Alphv/BlackCat était à l'origine de l'attaque et que l'entreprise avait payé une rançon. UnitedHealth a également reconnu que des acteurs malveillants avaient obtenu des données sensibles.

La déclaration liminaire d'Andrew Witty lors de l'audition a permis de mieux comprendre la chronologie et le vecteur de l'attaque, même si de nombreuses questions restent en suspens.

« Le 12 février, des criminels ont utilisé des informations d'identification compromises pour accéder à distance à un portail Citrix de Change Healthcare, une application utilisée pour permettre l'accès à distance aux postes de travail. Le portail ne disposait pas d'une authentification multifactorielle (MFA). Une fois l'accès obtenu, l'acteur malveillant s'est déplacé latéralement dans les systèmes de manière plus sophistiquée et a exfiltré des données. Le ransomware a été déployé neuf jours plus tard », a déclaré Andrew Witty dans la déclaration préparée.

Les produits Citrix vulnérables sont depuis un certain temps des cibles populaires pour les attaquants. En novembre, la CISA, le FBI et encore l'Anssi, notamment, ont averti les organisations que le groupe de ransomwares LockBit exploitait largement une vulnérabilité critique de Citrix NetScaler ADC et NetScaler Gateway, référencée CVE-2023-4966 et baptisée « Citrix Bleed », qui a été divulguée et corrigée en octobre.

L'avis établissait un lien entre une attaque menée en octobre contre le géant de l'aviation Boeing et Citrix Bleed. Boeing a confirmé que des acteurs malveillants avaient exploité CVE-2023-4966 pour obtenir un accès initial à ses activités de pièces détachées et de distribution.

Puis, en janvier, Citrix a révélé que deux nouvelles vulnérabilités inédites, dites 0day, dans les mêmes produits faisaient l'objet d'une attaque, sans que l'on sache à qui elles étaient attribuées. En outre, l'assureur Coalition a publié en février son « Cyber Threat Index 2024 », qui mettait en évidence les conséquences considérables pour les victimes de Citrix Bleed.

Cependant, l'attaque contre Change Healthcare n'a apparemment pas impliqué l'exploitation des failles de Citrix, car les attaquants ont simplement utilisé des informations d'identification compromises pour prendre pied dans le réseau de l'entreprise.

La MFA est une mesure de sécurité standard que l'industrie et les agences gouvernementales préconisent depuis des années pour atténuer la menace de compromission des informations d'identification. Plusieurs attaques récentes et très médiatisées ont vu des acteurs de la menace cibler et compromettre des services et des actifs dépourvus de protection MFA. Par exemple, une enquête sur l'attaque Midnight Blizzard contre Microsoft en juillet a révélé que la protection MFA n'était pas activée dans le tenant cloud compromis.