Change Healthcare heeft al maanden te maken met een extreem rommelig ransomware-debacle waardoor honderden apotheken en medische praktijken in de Verenigde Staten hun claims niet meer kunnen verwerken. Dankzij een ogenschijnlijk dispuut binnen het ransomware-ecosysteem is de situatie wellicht nog rommeliger geworden.
In maart ontving de AlphV-ransomwaregroep, die de eer opeiste voor het versleutelen van het netwerk van Change Healthcare en dreigde grote hoeveelheden gevoelige gezondheidszorggegevens van het bedrijf te lekken, een betalingsbewijs van $ 22 miljoen, publiekelijk vastgelegd op de bitcoin-blockchain, dat Change Healthcare zeer waarschijnlijk in handen was. boog voor de eis van zijn kwelgeesten om losgeld, hoewel het bedrijf nog niet heeft bevestigd dat het heeft betaald. Maar in de nieuwe definitie van worst-case ransomware wordt a anders De ransomwaregroep beweert de gestolen gegevens van Change Healthcare in bezit te hebben en eist zelf betaling.
Vanaf maandag maakte RansomHub, een relatief nieuwe ransomwaregroep, op zijn dark web bekend dat het 4 terabytes aan gestolen Change Healthcare-gegevens had, die het dreigde te verkopen aan de ‘hoogste bieder’, tenzij Change Healthcare een niet nader gespecificeerd losgeld betaalde. RansomHub vertelt WIRED dat het niet is aangesloten bij AlphV en “niet kan zeggen” hoeveel losgeld het vraagt.
RansomHub weigerde aanvankelijk om gegevensmonsters van de gestolen schat vrij te geven of aan WIRED te verstrekken om zijn claim te bewijzen. Maar vrijdag stuurde een vertegenwoordiger van de groep WIRED verschillende screenshots van wat leek op een overeenkomst voor patiëntendossiers en het delen van gegevens voor United Healthcare, eigenaar van Change Healthcare, en Emdeon, dat Change Healthcare in 2014 kocht en later zijn naam aannam.
Hoewel WIRED de beweringen van RansomHub niet volledig kon bevestigen, suggereren de monsters dat deze tweede afpersingspoging tegen Change Healthcare mogelijk meer is dan alleen een loze dreiging. “Voor iedereen die eraan twijfelt dat we de gegevens hebben, en voor iedereen die speculeert over de kritiekheid en gevoeligheid van de gegevens, zouden de beelden voldoende moeten zijn om de omvang en het belang van de situatie te laten zien en onrealistische en kinderachtige theorieën op te helderen”, vertelde een contactpersoon van RansomHub. WIRED in een e-mail.
Change Healthcare reageerde niet onmiddellijk op het verzoek van WIRED om commentaar op het afpersingsverzoek van RansomHub.
Brett Callow, een ransomware-analist bij beveiligingsbedrijf Emsisoft, zegt dat hij gelooft dat AlphV aanvankelijk geen gegevens over het incident heeft vrijgegeven en dat de oorsprong van de gegevens van RansomHub onduidelijk is. “Ik weet uiteraard niet of de gegevens echt zijn – ze kunnen ergens anders vandaan gehaald zijn – maar ik zie ook niets dat erop wijst dat ze misschien niet authentiek zijn”, zegt hij over de gegevens die door RansomHub worden gedeeld.
Jon DiMaggio, hoofdveiligheidsstrateeg bij dreigingsinformatiebedrijf Analyst1, zegt dat hij gelooft dat RansomHub “de waarheid spreekt en de gegevens van Change HealthCare heeft”, nadat hij de informatie had bekeken die naar WIRED was gestuurd. Hoewel RansomHub een nieuwe speler is op het gebied van ransomware-bedreigingen, zegt DiMaggio, winnen ze snel “aan momentum”.
Als de beweringen van RansomHub waar zijn, betekent dit dat de toch al catastrofale ransomware-beproeving van Change Healthcare een soort waarschuwend verhaal is geworden over de gevaren van het vertrouwen op ransomware-groepen om hun beloften na te komen, zelfs nadat het losgeld is betaald. In maart postte iemand die ‘notchy’ werd genoemd op een Russisch cybercrimineel forum dat AlphV die betaling van 22 miljoen dollar in zijn zak had gestoken en verdween zonder de commissie te delen met ‘gelieerde’ hackers die doorgaans samenwerken met ransomwaregroepen en vaak infiltreren in netwerkslachtoffers. namens hun.