Seit dem Einbruch in die Change Healthcare-Einheit am 21. Februar durch eine Hackergruppe namens ALPHV, auch bekannt als "BlackCat", hat UnitedHealth erklärt, dass es daran arbeitet, die betroffenen Kanäle wiederherzustellen, und dass einige seiner Systeme wieder normal funktionieren. UnitedHealth hat zwar noch keinen Zeitplan für die vollständige Wiederherstellung vorgelegt, aber Cybersecurity-Analysten sagen, dass dies wahrscheinlich noch in weiter Ferne liegt.

"Das Ausmaß der Unterbrechung deutet darauf hin, dass sie keine alternativen Systeme zur Verfügung haben", sagt Chester Wisniewski, Direktor bei der Cybersicherheitsfirma Sophos. "Es sind 13, 14 Tage vergangen, und das ist schon länger, als ich erwarten würde, dass die Backup-Systeme hochgefahren werden."

Change bearbeitet etwa 50% der medizinischen Anträge in den USA für etwa 900.000 Ärzte, 33.000 Apotheken, 5.500 Krankenhäuser und 600 Labore. Etwa 1 von 3 US-Patientendatensätzen wird von den Gesundheitstechnologieangeboten des Unternehmens berührt, was es zu einem attraktiven Ziel für Hacker macht, die sich Zugang zu einem großen Teil der Gesundheitsdaten verschaffen wollen.

Die direkt betroffenen Kunden werden vielleicht schon früher eine Lösung sehen, "aber am hinteren Ende dauert es ein paar Monate oder sogar ein Jahr", sagte Wisniewski, der solche Sicherheitsverletzungen seit über 20 Jahren verfolgt.

Ein Sprecher von UnitedHealth sagte, das Unternehmen konzentriere sich auf die Untersuchung des Hacks und die Wiederherstellung des Betriebs bei Change Healthcare.

Die US-Behörden haben sich eingeschaltet, um das Chaos einzudämmen, das durch den Einbruch entstanden ist, der kleinere Gesundheitsdienstleister besonders hart getroffen hat.

Ähnliche Sicherheitsverletzungen im letzten Jahr betrafen das Glücksspielunternehmen MGM Resorts International und den Konsumgüterhersteller Clorox, die dadurch monatelang in Mitleidenschaft gezogen wurden und MGM mindestens 100 Millionen Dollar Schadenersatz und Clorox einen Rückgang des Quartalsumsatzes von mehr als 350 Millionen Dollar kosteten.

"Es kann mehrere Monate dauern, bis alles wieder normal läuft", sagte Brett Callow, ein in Kanada ansässiger Ransomware-Analyst bei der Cybersicherheitsfirma Emsisoft.

UnitedHealth hat sich nicht dazu geäußert, ob ALPHV Lösegeld gefordert hat, aber in einem Beitrag in einem Online-Forum für Cyberkriminalität wurde behauptet, dass das Unternehmen 22 Millionen Dollar an die Hacker gezahlt hat, um den Zugang zu seinen gesperrten Systemen und etwa 8 Terabyte oder 8 Millionen Megabyte an Daten, die angeblich gestohlen wurden, wiederzuerlangen.

Eine solche Entschlüsselung kann "unangemessen viel Zeit in Anspruch nehmen, je nach Dateigröße und System", so Kurtis Minder, Mitbegründer des Cyber Intelligence-Unternehmens GroupSense.

Minder, der geschädigten Organisationen bei den Verhandlungen mit ALPHV geholfen hat, sagte, dass die Wiederherstellungszeiten von einigen Wochen bis zu "lang und länger" reichen.

ALPHV hat auf Bitten um einen Kommentar nicht reagiert. Das U.S. FBI, das normalerweise in solchen Fällen ermittelt, lehnte es ab, den Hack zu kommentieren.

RACHEANGRIFFE

Schon Monate bevor ALPHV seinen bisher größten Angriff startete, wurden Krankenhäuser und kleine Gesundheitsdienstleister angegriffen.

Minder sagte, er habe mehreren Unternehmen, darunter einer Augenklinik, die letztes Jahr Ziel von ALPHV war, geholfen, mit den Hackern zu verhandeln.

"Von den Gruppen, mit denen wir es bei Ransomware zu tun hatten, gehörte ALPHV zu den antagonistischsten oder schwierigsten, mit denen wir zu tun hatten", sagte Minder und fügte hinzu, dass die Bande besonders hartnäckig gegen ihre Ziele vorging und hartnäckig bei der Aushandlung von Lösegeldern war.

Die russischsprachige ALPHV-Bande, die seit mindestens 2021 aktiv ist, stellt ihre eigene Schadsoftware und Infrastruktur für andere Hacker zur Verfügung und war die zweitgrößte Ransomware-as-a-Service-Anbieterin der Welt, bis das FBI im Dezember ihre Aktivitäten unterbrach.

Das FBI erklärte damals, es habe viele ALPHV-Webseiten beschlagnahmt und Einblick in das Computernetzwerk der Organisation erhalten. Der Change-Hack hat Fragen darüber aufgeworfen, wie effektiv die Maßnahmen der Behörde wirklich waren.

Als Reaktion auf die Beschlagnahmung durch das FBI wies der ALPHV-Administrator seine Hacker-"Partner" an, Krankenhäuser ins Visier zu nehmen. Dies geht aus einem Bericht der U.S. Cybersecurity and Infrastructure Security Agency (CISA) über die Gruppe hervor, der letzte Woche veröffentlicht wurde.

Von den fast 70 bekannten ALPHV-Opfern seit Mitte Dezember waren die meisten im Gesundheitswesen tätig, so die CISA.

Es gibt einige Anzeichen dafür, dass es um ALPHV für eine Weile ruhig werden könnte. Nach dem Hack von Change Healthcare ist die Bande untergetaucht.

Analysten zufolge ist es jedoch üblich, dass sich solche Gruppen umbenennen und wieder auferstehen.

"Um diese Leute wirklich zu stören, müsste man sie verhaften", sagte Minder. Solche Verhaftungen sind schwierig, da diese Banden oft in Ländern ansässig sind, mit denen die USA keine Auslieferungsverträge haben.