Un groupe d’extorsion a publié une partie de ce qu’il considère comme des dossiers de patients privés et sensibles sur des millions d’Américains volés lors de l’attaque de ransomware contre Change Healthcare en février.
Lundi, un nouveau gang de ransomwares et d’extorsion qui s’appelle RansomHub a publié plusieurs fichiers sur son site de fuite du dark web contenant des informations personnelles sur les patients dans différents documents, notamment des fichiers de facturation, des dossiers d’assurance et des informations médicales.
Certains des fichiers que TechCrunch a vus contiennent également des contrats et des accords entre Change Healthcare et ses partenaires.
RansomHub a menacé de vendre les données au plus offrant à moins que Change Healthcare ne paie une rançon.
C’est la première fois que des cybercriminels publient la preuve qu’ils sont en possession des dossiers médicaux et des patients résultant de la cyberattaque.
Pour Change Healthcare, il y a une autre complication : c’est le deuxième groupe à exiger le paiement d’une rançon pour empêcher la divulgation des données volées des patients en autant de mois.
UnitedHealth Group, la société mère de Change Healthcare, a déclaré qu’il n’y avait aucune preuve d’un nouveau cyber-incident. « Nous travaillons avec les forces de l’ordre et des experts externes pour enquêter sur les réclamations publiées en ligne afin de comprendre l’étendue des données potentiellement impactées. Notre enquête reste active et en cours », a déclaré Tyler Mason, porte-parole de UnitedHealth Group.
Ce qui est plus probable, c’est qu’un différend entre les membres et les affiliés du gang de ransomwares a laissé les données volées dans les limbes et a exposé Change Healthcare à de nouvelles extorsions.
Un gang de ransomwares basé en Russie, appelé ALPHV, s’est attribué le mérite du vol de données de Change Healthcare. Puis, début mars, ALPHV a soudainement disparu avec une rançon de 22 millions de dollars que Change Healthcare aurait payée pour empêcher la divulgation publique des données des patients.
Un affilié de l’ALPHV – essentiellement un entrepreneur qui gagne une commission sur les cyberattaques qu’il lance à l’aide des logiciels malveillants du gang – a rendu public le fait d’avoir commis le vol de données chez Change Healthcare, mais que l’équipe principale d’ALPHV/BlackCat les a empêchés de participer à leur part. le paiement de la rançon et a disparu avec le lot. Le sous-traitant a déclaré que les données de millions de patients étaient « toujours avec nous ».
Maintenant, RansomHub dit « nous avons les données et non ALPHV ». Wired, qui a signalé pour la première fois les efforts d’extorsion du deuxième groupe vendredi, a cité RansomHub comme disant qu’il était associé à la filiale qui possédait encore les données.
UnitedHealth avait précédemment refusé de dire si elle avait payé la rançon des pirates informatiques, ni quelle quantité de données avait été volée lors de la cyberattaque.
Le géant de la santé a déclaré dans un communiqué du 27 mars avoir obtenu un ensemble de données « sûr pour que nous puissions y accéder et l’analyser », que la société a obtenu en échange du paiement d’une rançon, a appris TechCrunch d’une source connaissant l’incident en cours. L’UHG a déclaré qu’elle « donnait la priorité à l’examen des données qui, selon nous, contiendraient probablement des informations sur la santé, des informations personnellement identifiables, des réclamations et des informations sur l’éligibilité ou financières ».