Change Healthcare Faces Another Ransomware Threat—and It Looks Credible

Durante meses, Change Healthcare se ha enfrentado a una debacle de ransomware inmensamente complicada que ha durado meses y que ha dejado a cientos de farmacias y consultorios médicos en todo Estados Unidos sin poder procesar reclamaciones. Ahora, gracias a una aparente disputa dentro del ecosistema criminal de ransomware, es posible que se haya vuelto aún más complicado.

El mes pasado, el grupo de ransomware AlphV, que se había atribuido el mérito de cifrar la red de Change Healthcare y amenazó con filtrar una gran cantidad de datos confidenciales de atención médica de la compañía, recibió un pago de 22 millones de dólares: evidencia, capturada públicamente en la cadena de bloques de Bitcoin, de que Change Healthcare probablemente había cedido. a la demanda de rescate de sus torturadores, aunque la empresa aún no ha confirmado que haya pagado. Pero en una nueva definición de ransomware en el peor de los casos, un diferente El grupo de ransomware afirma tener en su poder los datos robados de Change Healthcare y exige un pago propio.

Desde el lunes, RansomHub, un grupo de ransomware relativamente nuevo, ha publicado en su sitio web oscuro que tiene cuatro terabytes de datos robados de Change Healthcare, que amenazó con venderlos al “mejor postor” si Change Healthcare no pagaba un rescate no especificado. . RansomHub le dice a WIRED que no está afiliado a AlphV y que “no puede decir” cuánto exige como pago de rescate.

RansomHub inicialmente se negó a publicar o proporcionar a WIRED datos de muestra de ese tesoro robado para probar su afirmación. Pero el viernes, un representante del grupo envió a WIRED varias capturas de pantalla de lo que parecían ser registros de pacientes y un contrato de intercambio de datos para United Healthcare, propietaria de Change Healthcare, y Emdeon, que adquirió Change Healthcare en 2014 y luego tomó su nombre.

Si bien WIRED no pudo confirmar completamente las afirmaciones de RansomHub, las muestras sugieren que este segundo intento de extorsión contra Change Healthcare puede ser más que una amenaza vacía. “Para cualquiera que dude de que tenemos los datos, y para cualquiera que especule sobre la criticidad y la sensibilidad de los datos, las imágenes deberían ser suficientes para mostrar la magnitud y la importancia de la situación y aclarar las teorías infantiles y poco realistas”, dice el contacto de RansomHub. CABLEADO en un correo electrónico.

Change Healthcare no respondió de inmediato a la solicitud de WIRED de comentar sobre la demanda de extorsión de RansomHub.

Brett Callow, analista de ransomware de la firma de seguridad Emsisoft, dice que cree que AlphV no publicó originalmente ningún dato del incidente y que el origen de los datos de RansomHub no está claro. “Obviamente no sé si los datos son reales (podrían haber sido extraídos de otro lugar), pero tampoco veo nada que indique que no sean auténticos”, dice sobre los datos compartidos por RansomHub.

Jon DiMaggio, estratega jefe de seguridad de la firma de inteligencia de amenazas Analyst1, dice que cree que RansomHub está “diciendo la verdad y tiene los datos de Change HealthCare”, después de revisar la información enviada a WIRED. Si bien RansomHub es un nuevo actor de amenazas de ransomware, dice DiMaggio, rápidamente están “ganando impulso”.

Si las afirmaciones de RansomHub son reales, significará que la ya catastrófica experiencia del ransomware de Change Healthcare se ha convertido en una especie de advertencia sobre los peligros de confiar en que los grupos de ransomware cumplan sus promesas, incluso después de pagar el rescate. En marzo, alguien que se hace llamar “notchy” publicó en un foro de cibercriminales ruso que AlphV se había embolsado ese pago de 22 millones de dólares y desapareció sin compartir una comisión con los hackers “afiliados” que normalmente se asocian con grupos de ransomware y a menudo penetran en las redes de las víctimas. de su parte.

Fuente