Sinds de Change Healthcare unit op 21 februari werd gekraakt door een hackersgroep genaamd ALPHV, ook bekend als "BlackCat", heeft UnitedHealth gezegd dat het bezig is om de aangetaste kanalen te herstellen en dat sommige systemen weer normaal functioneren. Hoewel het bedrijf geen tijdlijn heeft gegeven voor volledig herstel, zeggen cyberbeveiligingsanalisten dat dit waarschijnlijk nog ver weg is.

"De hoeveelheid verstoring suggereert dat ze geen alternatieve systemen klaar hebben staan," zegt Chester Wisniewski, een directeur bij het cyberbeveiligingsbedrijf Sophos. "Het duurt nu al 13, 14 dagen, en dat is al langer dan ik zou verwachten voordat back-upsystemen zijn opgestart."

Change verwerkt ongeveer 50% van de medische claims in de VS voor ongeveer 900.000 artsen, 33.000 apotheken, 5.500 ziekenhuizen en 600 laboratoria. Ongeveer 1 op de 3 patiëntendossiers in de V.S. wordt aangeraakt door het aanbod van gezondheidstechnologie, waardoor het een aantrekkelijk doelwit is voor hackers die toegang willen krijgen tot een groot deel van de gezondheidszorggegevens.

Klanten die direct getroffen zijn, zullen misschien sneller een oplossing zien, "maar aan de achterkant duurt het een paar maanden tot wel een jaar," aldus Wisniewski, die dergelijke inbreuken al meer dan 20 jaar volgt.

Een woordvoerder van UnitedHealth zei dat het bedrijf zich concentreert op het onderzoeken van de hack en het herstellen van de activiteiten bij Change Healthcare.

Amerikaanse ambtenaren zijn tussenbeide gekomen om de chaos te beperken die het gevolg is van de inbraak, die vooral kleinere medische zorgverleners hard heeft getroffen en waarbij velen moeite hebben om betalingen te verwerken.

Gelijkaardige inbreuken vorig jaar op gokbedrijf MGM Resorts International en Clorox, een bedrijf dat consumentenproducten maakt, hadden maandenlang gevolgen, wat MGM minstens 100 miljoen dollar aan schade kostte en Clorox een daling van meer dan 350 miljoen dollar in de kwartaalomzet.

"Alles weer normaal krijgen kan een proces van meerdere maanden zijn," zegt Brett Callow, een in Canada gevestigde ransomware-analist bij het cyberbeveiligingsbedrijf Emsisoft.

UnitedHealth heeft niet gezegd of ALPHV losgeld eiste, maar een bericht op een online cybercrimeforum beweerde dat het bedrijf $22 miljoen aan de hackers betaalde voor het terugkrijgen van toegang tot de vergrendelde systemen en ongeveer 8 terabytes, of 8 miljoen megabytes, aan gegevens die gestolen zouden zijn.

Dergelijke ontcijfering kan "onredelijk veel tijd in beslag nemen, afhankelijk van de bestandsgrootte en de systemen in kwestie", aldus Kurtis Minder, medeoprichter van cyberinlichtingenfirma GroupSense.

Minder, die gedupeerde organisaties heeft geholpen om met ALPHV te onderhandelen, zei dat de hersteltijd varieert van een paar weken tot "lang en langer".

ALPHV heeft niet gereageerd op verzoeken om commentaar. De Amerikaanse FBI, die gewoonlijk dergelijke zaken onderzoekt, weigerde commentaar te geven op de hack.

WRAAKAANVALLEN

Maanden voordat ALPHV zijn meest ontwrichtende hack tot nu toe uitvoerde, trof het ziekenhuizen en kleine zorgverleners.

Minder zei dat hij verschillende bedrijven, waaronder een oogkliniek die vorig jaar het doelwit van ALPHV was, heeft geholpen om met de hackers te onderhandelen.

"Van de groepen waarmee we te maken hebben gehad op het gebied van ransomware, was ALPHV een van de meest antagonistische of moeilijkste om mee om te gaan," zei Minder, eraan toevoegend dat de bende bijzonder hardnekkig was tegen haar doelwitten en koppig was in het onderhandelen over losgeld.

De Russischtalige cybercriminele bende ALPHV, die minstens sinds 2021 actief is, levert zijn eigen kwaadaardige software en infrastructuur aan andere hackers en was 's werelds op één na meest productieve 'ransomware-as-a-service' totdat de FBI de activiteiten in december verstoorde.

De FBI zei toen dat ze veel websites van ALPHV in beslag hadden genomen en inzicht hadden gekregen in hun computernetwerk. De Change-hack heeft vragen opgeroepen over hoe effectief de acties van het agentschap werkelijk waren.

Als reactie op de inbeslagname door de FBI gaf de beheerder van ALPHV zijn hackende "filialen" de opdracht om zich op ziekenhuizen te richten, volgens een advies van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) over de groep van vorige week.

Van de bijna 70 bekende ALPHV-slachtoffers sinds half december, waren de meesten in de gezondheidszorg, aldus CISA.

Er zijn tekenen dat ALPHV het een tijdje rustig aan zal doen. Na de Change Healthcare hack heeft de bende een verdwijntruc uitgevoerd.

Maar het is gebruikelijk voor dergelijke groepen om hun naam te veranderen en zichzelf weer op te richten, zeggen analisten.

"Om deze mensen echt te ontwrichten, zou je ze moeten arresteren," zei Minder. Zulke arrestaties zijn moeilijk, zei hij, omdat deze bendes vaak in landen gevestigd zijn waar de VS geen uitleveringsverdragen mee heeft.