Depuis des mois, Change Healthcare est confrontée à une débâcle extrêmement compliquée liée aux ransomwares qui a empêché des centaines de pharmacies et de cabinets médicaux à travers les États-Unis de traiter les réclamations. Aujourd’hui, en raison d’un conflit apparent au sein de l’écosystème criminel des ransomwares, la situation est peut-être devenue encore plus compliquée.
En mars, le groupe de ransomware AlphV, qui avait revendiqué le cryptage du réseau de Change Healthcare et menacé de divulguer des quantités de données sensibles sur les soins de santé de l’entreprise, a reçu un paiement de 22 millions de dollars – une preuve, capturée publiquement sur la blockchain de Bitcoin, que Change Healthcare avait très probablement a cédé à la demande de rançon de ses bourreaux, même si l’entreprise n’a pas encore confirmé qu’elle avait payé. Mais dans une nouvelle définition d’un ransomware dans le pire des cas, un différent Le groupe de ransomware prétend détenir les données volées de Change Healthcare et exige son propre paiement.
Depuis lundi, RansomHub, un groupe de ransomware relativement nouveau, a publié sur son site Web sombre qu’il détenait 4 téraoctets de données volées à Change Healthcare, qu’il menaçait de vendre au « plus offrant » si Change Healthcare ne payait pas un montant non précisé. une rançon. RansomHub dit à WIRED qu’il n’est pas affilié à AlphV et « ne peut pas dire » combien il exige en guise de paiement de rançon.
RansomHub a initialement refusé de publier ou de fournir à WIRED des échantillons de données de ce trésor volé pour prouver ses affirmations. Mais vendredi, un représentant du groupe a envoyé à WIRED plusieurs captures d’écran de ce qui semblait être des dossiers de patients et un contrat de partage de données pour United Healthcare, propriétaire de Change Healthcare, et Emdeon, qui a acquis Change Healthcare en 2014 et a ensuite pris son nom.
Bien que WIRED n’ait pas pu confirmer pleinement les affirmations de RansomHub, les échantillons suggèrent que cette deuxième tentative d’extorsion contre Change Healthcare pourrait être plus qu’une vaine menace. « Pour tous ceux qui doutent que nous disposions des données, et pour tous ceux qui spéculent sur le caractère critique et sensible des données, les images devraient suffire à montrer l’ampleur et l’importance de la situation et à dissiper les théories irréalistes et enfantines », a déclaré le contact de RansomHub. WIRED dans un e-mail.
Change Healthcare n’a pas immédiatement répondu à la demande de commentaires de WIRED sur la demande d’extorsion de RansomHub.
Brett Callow, analyste des ransomwares auprès de la société de sécurité Emsisoft, affirme qu’il pense qu’AlphV n’a initialement publié aucune donnée sur l’incident et que l’origine des données de RansomHub n’est pas claire. « Je ne sais évidemment pas si les données sont réelles – elles auraient pu être extraites d’ailleurs – mais je ne vois rien non plus qui indique qu’elles pourraient ne pas être authentiques », dit-il à propos des données partagées par RansomHub.
Jon DiMaggio, stratège en chef de la sécurité de la société de renseignement sur les menaces Analyst1, affirme qu’il pense que RansomHub « dit la vérité et possède les données de Change HealthCare », après avoir examiné les informations envoyées à WIRED. Bien que RansomHub soit un nouvel acteur de la menace de ransomware, dit DiMaggio, ils « prennent rapidement de l’ampleur ».
Si les affirmations de RansomHub sont réelles, cela signifiera que l’épreuve déjà catastrophique de Change Healthcare en matière de ransomware est devenue une sorte de mise en garde sur les dangers de faire confiance aux groupes de ransomware pour tenir leurs promesses, même après le paiement d’une rançon. En mars, quelqu’un surnommé « Notchy » a posté sur un forum de cybercriminels russe qu’AlphV avait empoché ce paiement de 22 millions de dollars et avait disparu sans partager de commission avec les pirates informatiques « affiliés » qui s’associent généralement à des groupes de ransomwares et pénètrent souvent dans les réseaux des victimes. en leur nom.