Change Healthcare 2024 : 190 M de patients, 22 M$ de rançon, le plus gros breach santé de l'histoire
Credentials sur Telegram → Citrix sans MFA → 9 jours de mouvement latéral → 6 To exfiltrés → 22 M$ payés en exit scam → 190 M de patients américains affectés. Six fautes structurelles, six garde-fous UniSOC.
Change Healthcare 2024 : 190 M de patients, 22 M$ de rançon, le plus gros breach santé de l'histoire
TL;DR — 12 février 2024 : un affilié du groupe ransomware BlackCat / ALPHV se connecte sur un Citrix de Change Healthcare avec les credentials d'un employé support de bas niveau, achetés sur un Telegram de stealers. Pas de MFA sur ce Citrix. 9 jours de mouvement latéral non détecté. 21 février : déploiement du ransomware, 6 To exfiltrés, systèmes en panne. 29 février : UnitedHealth paie 22 M$ en bitcoin. L'affilié garde l'argent, ne donne pas la clé, fait un exit scam. 190 M de patients américains affectés — le plus gros breach santé de l'histoire mondiale. Coût total estimé > 2,4 Md$.
Pourquoi cette attaque doit être étudiée par tout SOC santé
Change Healthcare est une filiale de UnitedHealth Group (UHG), opérateur de plateformes de remboursement et de prescription pour 1 million de prestataires de santé US et 6 000 hôpitaux. Ce n'est pas un acteur marginal : c'est une plaque tournante qui traite 15 milliards de transactions de santé par an, soit ~1/3 du système américain.
L'attaque de février 2024 est paradigmatique parce qu'elle combine toutes les fautes possibles :
- Credentials volés trouvables sur Telegram → pas monitorés.
- MFA absente sur un point d'entrée Citrix critique.
- Mouvement latéral indétecté pendant 9 jours.
- Pas de détection de l'exfiltration de 6 To.
- Paiement de rançon → exit scam.
- Notification réglementaire en retard de 4 mois (juin 2024 pour une attaque de février).
Chacune de ces fautes est, individuellement, un sujet de SOC mature. Cumulées, elles ont produit le plus gros breach santé de l'histoire.
Timeline détaillée
12 février 2024 — Initial access
Un affilié de BlackCat / ALPHV (groupe ransomware actif depuis 2021, qui sera saisi par le FBI en mars 2024) achète sur un canal Telegram dédié aux infostealers un lot contenant un credential
username:password valide pour un Citrix Change Healthcare.
Le credential appartient à un employé du support technique niveau 1, qui n'a pas de privilèges admin AD mais qui peut se connecter à l'environnement Citrix d'entreprise.
Le serveur Citrix n'a pas de MFA activée. L'attaquant se logue.
12-21 février — Mouvement latéral non détecté (9 jours)
L'attaquant utilise des techniques classiques :
- Découverte AD via
ou équivalent.BloodHound - Élévation de privilèges via Kerberoasting (extraction de tickets de service AD).
- Pivoting via SMB et RDP entre serveurs.
- Exfiltration progressive vers un serveur cloud externe (probablement Mega ou Backblaze, méthodes habituelles BlackCat).
Pendant 9 jours, aucune alerte n'est levée. Aucun SIEM ne corrèle les login anormaux + énumération AD + transferts sortants massifs. Soit aucun SIEM n'était connecté, soit les règles de détection étaient absentes ou désactivées.
21 février — Déploiement du ransomware
L'attaquant déploie BlackCat sur l'ensemble des serveurs accessibles. Six téraoctets ont été exfiltrés au préalable. Les fichiers sont chiffrés. La rançon initiale est demandée : 150 BTC (~6 M$ à l'époque).
Change Healthcare détecte l'attaque le matin même par les plaintes massives de prestataires : les systèmes de facturation tombent, les pharmacies ne peuvent plus traiter les ordonnances, les remboursements s'arrêtent.
29 février — Paiement, exit scam
UnitedHealth, sous pression pour restaurer le service, paie 22 M$ en bitcoin à BlackCat (l'un des plus gros paiements ransomware connus de l'histoire).
Quelques jours plus tard : l'affilié BlackCat qui a mené l'attaque ne reverse rien à l'opération centrale BlackCat. Le groupe central déclare le serveur saisi par les autorités (faux), simule un démantèlement, et les opérateurs partent avec l'argent. Les données restent en possession des attaquants. Exit scam classique.
Mars-avril — Conséquences en cascade
- Pharmacies : ne peuvent plus traiter les ordonnances assurées.
- Hôpitaux : impossible de soumettre les remboursements.
- Patients : factures absentes, suivis interrompus.
- UnitedHealth : avance 6 Md$ de prêts d'urgence aux prestataires impactés.
Juin 2024 — Notification individuelle
Quatre mois après l'attaque, UnitedHealth commence enfin à notifier individuellement les patients (obligation HIPAA). Le chiffre final remonte à 190 millions d'individus affectés — soit ~57 % de la population américaine.
Suites judiciaires (en cours, 2025-2026)
- Class actions multiples : > 50 plaintes consolidées.
- Audition au Sénat américain (Andrew Witty, CEO UnitedHealth).
- Coût total estimé pour UHG : 2,4 Md$ minimum (frais légaux + remédiation + amendes futures HIPAA).
Les 6 fautes structurelles, et comment un SOC moderne les évite
Faute 1 — Credential volé sur Telegram, pas monitoré
Le credential utilisé pour l'initial access était publiquement listé sur un canal Telegram d'infostealers avant l'attaque. Aucun monitoring de fuites n'a alerté Change Healthcare.
Comment l'éviter : souscrire à un service de monitoring fuites credentials (Hudson Rock, XposedOrNot, IntelligenceX, ou solution interne comme notre pipeline Telegram OSINT). Coût : faible. ROI : massif.
Faute 2 — Pas de MFA sur Citrix Internet-facing
C'est la faute la plus inexplicable. 2024, point d'entrée Citrix critique exposé Internet, sans MFA. Cette pratique aurait dû être éliminée vers 2018-2019.
Comment l'éviter : politique zero-tolérance — aucun login admin ou utilisateur métier sans MFA. Préférer FIDO2/WebAuthn (immunisé phishing) à TOTP. Auditer les exceptions tous les 30 jours.
Faute 3 — Mouvement latéral non détecté en 9 jours
9 jours, c'est 3x la moyenne mondiale Mandiant 2024 (médiane 11 jours pour ransomware). Un SOC mature détecte BloodHound, Kerberoasting, RDP latéral en quelques heures, pas en 9 jours.
Comment l'éviter : détection MITRE ATT&CK couverture > 60 % sur les techniques T1018 (Remote System Discovery), T1003 (OS Credential Dumping), T1021 (Remote Services). Workers UEBA et Lateral Movement Detector — exactement la couverture livrée par la plateforme SOC managé UniSOC.
Faute 4 — Exfiltration de 6 To non détectée
6 téraoctets sortants, c'est plusieurs dizaines de Gbps cumulés sur 9 jours. Tout NDR / DPI moderne aurait détecté l'anomalie.
Comment l'éviter : baseline de bande passante sortante par tenant + alertes sur dépassement. UniSOC détecte ce pattern via le worker
T1567 (Exfiltration cloud storage outbound > 50 MB).
Faute 5 — Paiement rançon → exit scam
Payer la rançon n'a strictement rien donné : les attaquants ont gardé les données et l'argent. Ce scénario est désormais majoritaire dans le ransomware moderne (estimé 60 % des paiements 2024 ne récupèrent pas la totalité des données).
Comment l'éviter : politique « no pay » par défaut, sauf cas exceptionnel validé en COMEX. Construire la résilience opérationnelle (sauvegardes immutables, plan de continuité métier) qui rend le paiement non nécessaire.
Faute 6 — Notification en retard de 4 mois
HIPAA exige une notification dans les 60 jours de la découverte. UHG a mis 120 jours. Plusieurs procureurs d'État (notamment Nebraska) ont engagé des poursuites pour ce délai.
Comment l'éviter : procédure de notification documentée, automatisée pour la partie technique (extraction des registres affectés), validée par le DPO en moins de 48h.
Adapter ces leçons au RGPD européen
En Europe, le cadre est encore plus strict :
- RGPD : notification CNIL dans les 72h de la découverte d'une fuite de données personnelles.
- NIS2 : notification CERT-FR dans les 24h pour les opérateurs essentiels (santé inclus).
- HDS V2 : audit annuel obligatoire, plan de continuité formalisé.
Un Change Healthcare français aurait été massivement plus pénalisé : amendes CNIL pouvant atteindre 4 % du CA mondial, sanctions ANSSI, perte de la certification HDS.
Comment UniSOC est structuré pour éviter le scénario Change Healthcare
| Faute Change Healthcare | UniSOC |
|---|---|
| Credentials Telegram non monitorés | Pipeline Telegram OSINT scanne 20+ canaux, alerte 15 min |
| Pas de MFA Citrix | MFA obligatoire portail + alertes sur logins sans MFA |
| Mouvement latéral 9 jours | Workers UEBA + Lateral Movement détectent en < 4h |
| Exfiltration 6 To | Worker détecte > 50 MB sortant inhabituel |
| Détection ransomware = trop tard | YARA Action Tier "prevent" (2107 règles) bloque le ransomware avant exécution |
| Notification 120 jours | Templates RGPD/NIS2 préparés, génération automatique sous 24h |
| Pas de plan continuité | Conseil et template de PCA inclus dans l'offre Conformité |
Conclusion
Change Healthcare n'est pas une histoire de cyberguerre asymétrique. C'est une histoire de fautes basiques accumulées chez un acteur majeur qui pensait que sa taille le protégeait. Cette protection n'existe pas.
Pour un opérateur de santé français de 2026 — hôpital public, CHU, EHPAD, mutuelle ou ARS — le manuel est clair (et c'est précisément ce que couvre notre offre dédiée aux collectivités et secteur public) :
- Monitoring fuites credentials, en continu.
- MFA dure sur tout point d'entrée admin ou métier.
- Détection mouvement latéral sub-24h, mesurée par exercice red team annuel.
- Détection exfiltration sub-1h, mesurée par DLP test mensuel.
- Politique « no pay » par défaut + plan continuité testé.
- Procédure RGPD/NIS2 documentée, simulée trimestriellement.
Si une de ces 6 cases n'est pas cochée, vous prenez le risque Change Healthcare à votre échelle.
À lire aussi : HDS V2 expliqué et Snowflake 2024 : 560 M de comptes.
Vous opérez un SI santé et voulez tester votre exposition au scénario Change Healthcare ? Demandez notre exercice "Healthcare Ransomware Drill" → — exercice de table 4h, scénario calé sur Change Healthcare, livrable plan d'action.