Change Healthcare Finally Admits It Paid Ransomware Hackers—and Still Faces a Patient Data Leak

Para Change Healthcare y los asediados consultorios médicos, hospitales y pacientes que dependen de él, la confirmación de su pago de extorsión a los piratas informáticos añade una amarga coda a una historia ya de por sí distópica. La parálisis digital de Change Healthcare, una subsidiaria de UnitedHealth Group, por parte de AlphV, afectó la aprobación de seguros de recetas y procedimientos médicos para cientos de consultorios médicos y hospitales en todo el país, lo que la convirtió, según algunas medidas, en la interrupción del ransomware médico más extendida jamás realizada. Una encuesta entre miembros de la Asociación Médica Estadounidense, realizada entre el 26 de marzo y el 3 de abril, encontró que cuatro de cada cinco médicos habían perdido ingresos como resultado de la crisis. Muchos dijeron que estaban usando sus propias finanzas personales para cubrir los gastos de su consultorio. Mientras tanto, Change Healthcare dice que ha perdido 872 millones de dólares por el incidente y proyecta que esa cifra aumentará a más de mil millones a largo plazo.

La confirmación de Change Healthcare de su pago de rescate ahora parece mostrar que gran parte de esas catastróficas consecuencias para el sistema de salud de EE. UU. se desarrollaron. después ya había pagado a los piratas informáticos una suma exorbitante: un pago a cambio de una clave de descifrado para los sistemas que los piratas informáticos habían cifrado y la promesa de no filtrar los datos robados de la empresa. Como suele ser el caso en los ataques de ransomware, la interrupción de sus sistemas por parte de AlphV parece haber sido tan generalizada que el proceso de recuperación de Change Healthcare se ha prolongado mucho después de obtener la clave de descifrado diseñada para desbloquear sus sistemas.

En lo que respecta a los pagos de ransomware, 22 millones de dólares no sería lo máximo que una víctima ha desembolsado. Pero está cerca, dice Brett Callow, un investigador de seguridad centrado en ransomware que habló con WIRED sobre el pago sospechoso en marzo. Sólo unos pocos pagos excepcionales, como los 40 millones de dólares pagados a los piratas informáticos por CNA Financial en 2021, superan esa cifra. “No carece de precedentes, pero ciertamente es muy inusual”, dijo Callow sobre la cifra de 22 millones de dólares.

Esa inyección de fondos de 22 millones de dólares en el ecosistema de ransomware alimenta aún más un círculo vicioso que ha alcanzado proporciones epidémicas. La empresa de rastreo de criptomonedas Chainalysis descubrió que en 2023, las víctimas de ransomware pagaron a los piratas informáticos que las atacaban 1.100 millones de dólares, un nuevo récord. El pago de Change Healthcare puede representar sólo una pequeña gota en ese cubo. Pero recompensa a AlphV por sus ataques altamente dañinos y puede sugerir a otros grupos de ransomware que las empresas de atención médica son objetivos particularmente rentables, dado que esas empresas son especialmente sensibles tanto al alto costo financiero de esos ciberataques como a los riesgos que representan para la salud de los pacientes.

Para agravar el lío de Change Healthcare es una aparente traición dentro del mundo del ransomware: según todas las apariencias, AlphV fingió su propia eliminación policial después de recibir el pago de Change Healthcare en un intento de evitar compartirlo con sus supuestos afiliados, los piratas informáticos que se asocian con el grupo para penetrar a las víctimas en su nombre. El segundo grupo de ransomware que amenaza a ChangeHealthcare, RansomHub, ahora afirma a WIRED que obtuvieron los datos robados de esos afiliados, que todavía quieren que les paguen por su trabajo.

Esto ha creado una situación en la que el pago de Change Healthcare ofrece poca garantía de que sus datos comprometidos no seguirán siendo explotados por piratas informáticos descontentos. “Estos afiliados trabajan para múltiples grupos. Les preocupa que les paguen ellos mismos y no hay confianza entre los ladrones”, dijo DiMaggio de Analyst1 a WIRED en marzo. “Si alguien jode a otra persona, no sabes qué va a hacer con los datos”.

Todo eso significa que Change Healthcare todavía tiene pocas garantías de haber evitado un escenario aún peor que el que ha enfrentado hasta ahora: pagar lo que puede ser uno de los rescates más grandes de la historia y seguir viendo sus datos derramados en la web oscura. “Si se filtra después de que pagaron 22 millones de dólares, es como prender fuego a ese dinero”, advirtió DiMaggio en marzo. “Habrían quemado ese dinero por nada”.

Fuente