Durante meses, a Change Healthcare enfrentou um desastre de ransomware imensamente complicado que deixou centenas de farmácias e consultórios médicos nos Estados Unidos incapazes de processar reclamações. Agora, graças a uma aparente disputa dentro do ecossistema criminoso de ransomware, tudo pode ter ficado ainda mais confuso.
Em março, o grupo de ransomware AlphV, que reivindicou o crédito por criptografar a rede da Change Healthcare e ameaçou vazar resmas de dados confidenciais de saúde da empresa, recebeu um pagamento de US$ 22 milhões – evidência, capturada publicamente na blockchain do Bitcoin, de que a Change Healthcare muito provavelmente havia cedeu ao pedido de resgate dos seus algozes, embora a empresa ainda não tenha confirmado que pagou. Mas em uma nova definição de ransomware de pior caso, um diferente grupo de ransomware afirma estar mantendo os dados roubados da Change Healthcare e está exigindo seu próprio pagamento.
Desde segunda-feira, o RansomHub, um grupo de ransomware relativamente novo, postou em seu site dark web que possui 4 terabytes de dados roubados da Change Healthcare, que ameaçou vender ao “licitante com lance mais alto” se a Change Healthcare não pagasse uma quantia não especificada. resgate. RansomHub disse à WIRED que não é afiliado ao AlphV e “não pode dizer” quanto está exigindo como pagamento de resgate.
O RansomHub inicialmente se recusou a publicar ou fornecer à WIRED quaisquer dados de amostra desse tesouro roubado para provar sua afirmação. Mas na sexta-feira, um representante do grupo enviou à WIRED várias capturas de tela do que pareciam ser registros de pacientes e um contrato de compartilhamento de dados para a United Healthcare, proprietária da Change Healthcare, e a Emdeon, que adquiriu a Change Healthcare em 2014 e mais tarde adotou seu nome.
Embora a WIRED não tenha conseguido confirmar totalmente as afirmações do RansomHub, as amostras sugerem que esta segunda tentativa de extorsão contra a Change Healthcare pode ser mais do que uma ameaça vazia. “Para quem duvida que temos os dados, e para quem especula sobre a criticidade e a sensibilidade dos dados, as imagens devem ser suficientes para mostrar a magnitude e a importância da situação e esclarecer as teorias irrealistas e infantis”, disse o contato do RansomHub. WIRED em um e-mail.
A Change Healthcare não respondeu imediatamente ao pedido da WIRED para comentar a demanda de extorsão do RansomHub.
Brett Callow, analista de ransomware da empresa de segurança Emsisoft, diz acreditar que o AlphV não publicou originalmente nenhum dado do incidente e que a origem dos dados do RansomHub não é clara. “Obviamente não sei se os dados são reais – poderiam ter sido extraídos de outro lugar – mas também não vejo nada que indique que possam não ser autênticos”, diz ele sobre os dados compartilhados pelo RansomHub.
Jon DiMaggio, estrategista-chefe de segurança da empresa de inteligência de ameaças Analyst1, diz acreditar que o RansomHub está “dizendo a verdade e possui os dados da Change HealthCare”, após analisar as informações enviadas à WIRED. Embora o RansomHub seja um novo ator de ameaças de ransomware, diz DiMaggio, eles estão rapidamente “ganhando impulso”.
Se as afirmações do RansomHub forem reais, isso significará que a já catastrófica provação de ransomware da Change Healthcare se tornou uma espécie de conto de advertência sobre os perigos de confiar em grupos de ransomware para cumprir suas promessas, mesmo depois de o resgate ser pago. Em março, alguém chamado “notchy” postou em um fórum cibercriminoso russo que o AlphV havia embolsado aquele pagamento de US$ 22 milhões e desaparecido sem compartilhar uma comissão com os hackers “afiliados” que normalmente fazem parceria com grupos de ransomware e muitas vezes penetram nas redes das vítimas. em nome deles.
