Carefirst Blue Cross Breach llega a 1,1 millones – Krebs on Security

CareFirst BlueCross BlueShield el miércoles dijo que se había visto afectado por una violación de datos que comprometió la información personal de aproximadamente 1,1 millones de clientes. Hay indicios de que en esta intrusión se pueden haber utilizado los mismos métodos de ataque que en las infracciones en Himno y Premeraincidentes que colectivamente involucraron datos de más de 90 millones de estadounidenses.

atención primeroDe acuerdo a una declaración CareFirst emitió el miércoles, los atacantes obtuvieron acceso a nombres, fechas de nacimiento, direcciones de correo electrónico y números de identificación de seguros. La compañía dijo que la base de datos no incluía números de tarjetas de crédito o de Seguro Social, contraseñas o información médica. Sin embargo, CareFirst ofrece monitoreo de crédito y protección contra robo de identidad por dos años.

Nadie señala oficialmente con el dedo a las partes que se cree que son responsables de esta última violación de la industria de la salud, pero hay pistas que implican a los mismos actores patrocinados por el estado de China que se cree que están involucrados en los ataques de Anthem y Premera.

Como señalé en esta historia del 9 de febrero de 2015, Anthem fue violado poco después de que se lanzara una campaña de malware que imitaba los nombres de dominio de Anthem en el momento de la violación. Antes de su cambio de nombre oficial a fines de 2014, Anthem se conocía como Wellpoint. Investigadores de seguridad en empresa de ciberseguridad Threat Connect Inc. había descubierto una serie de subdominios para we11point[dot]com (tenga en cuenta que las «L» en el dominio fueron reemplazadas por el número «1»), incluido myhr.we11point[dot]com y hrsolutions.we11point[dot]com.

ThreatConnect también descubrió que los dominios se registraron en abril de 2014 (aproximadamente el momento en que comenzó la violación de Anthem) y que los dominios se usaron junto con malware diseñado para imitar una herramienta de software que muchas organizaciones usan comúnmente para permitir que los empleados tengan acceso remoto a los datos internos. redes

El 27 de febrero de 2015, ThreatConnect publicó más información vincular los mismos actores de amenazas y modus operandi a un dominio llamado «prennera[dot]com” (observe el uso de la doble “n” allí para imitar la letra “m”).

tc-cfbcbs“Se cree que la prennera[dot]El dominio com puede haber estado suplantando al proveedor de atención médica Premera Cruz Azuldonde los atacantes utilizaron la misma técnica de reemplazo de caracteres al reemplazar la ‘m’ con dos caracteres ‘n’ dentro del dominio falso, la misma técnica que se vería cinco meses después con we11point[dot]infraestructura de comando y control de com”, observó ThreatConnect en una publicación de blog de febrero de 2015.

Resulta que el mismo registrante masivo en China que registró los dominios falsos de Premera y Anthem en abril de 2014 también registró dos dominios parecidos a Carefirst: cuidado[dot]com (la “i” reemplazada por una “L”) y cuidado primero[dot]com (la “i” reemplazada por el número “1”).

Además, ThreatConnect tiene evidencia descubierta mostrando las mismas tácticas fueron utilizadas en EmpireB1ue.com (tenga en cuenta que la «L» se reemplazó con un número «1»), un dominio registrado el 11 de abril de 2014 (el mismo día que los dominios falsos de Carefirst). ImperioAzul AzulCruz AzulEscudo era ohuna de las organizaciones afectadas por la violación de Anthem.

Deja un comentario