Hackers achter de ransomware-aanval op de gezondheidszorg hebben zojuist een betaling van $ 22 miljoen ontvangen
Indignatie redactie
5 min. lezen
De transactie, zichtbaar op de blockchain van Bitcoin, suggereert dat het slachtoffer van een van de ergste ransomware-aanvallen in jaren mogelijk een zeer groot losgeld heeft betaald.
De ransomware-aanval gericht op het medische bedrijf Change Healthcare is een van de meest ontwrichtende in jaren, heeft apotheken in de VS lamgelegd – inclusief die in ziekenhuizen – en heeft geleid tot ernstige problemen bij de levering van geneesmiddelen op recept in het hele land, gedurende tien dagen en nog steeds.
ransomware Nu heeft een dispuut binnen de criminele underground een nieuwe ontwikkeling in dat zich ontvouwende debacle aan het licht gebracht: een van de partners van de hackers achter de aanval wijst erop dat die hackers, een groep die bekend staat als AlphV of BlackCat, een transactie van 22 miljoen dollar hebben ontvangen die er zeer goed uitziet. net als een grote losgeldbetaling.
Op 1 maart ontving een Bitcoin-adres dat verbonden was met AlphV 350 bitcoins in één enkele transactie, of bijna $22 miljoen op basis van de toenmalige wisselkoersen. Twee dagen later postte iemand die zichzelf omschreef als een dochteronderneming van AlphV – een van de hackers die met de groep samenwerken om slachtoffernetwerken binnen te dringen – op het cybercriminele ondergrondse forum RAMP dat AlphV hen had bedrogen met hun deel van het losgeld van Change Healthcare. , wijzend op de publiekelijk zichtbare transactie van $22 miljoen op de blockchain van Bitcoin als bewijs.
Dat suggereert, volgens Dmitry Smilyanets, de onderzoeker van beveiligingsbedrijf Recorded Future die de post voor het eerst zag, dat Change Healthcare waarschijnlijk het losgeld van AlphV heeft betaald. “Je kunt zien hoeveel munten daar zijn beland. Dat soort transacties zie je niet zo vaak”, zegt Smilyanets. “Er is bewijs dat er een groot bedrag in de door AlphV gecontroleerde Bitcoin-portemonnee terechtkomt. En deze affiliate koppelt dit adres aan de aanval op Change Healthcare. Het is dus waarschijnlijk dat het slachtoffer het losgeld heeft betaald.”
Een woordvoerder van Change Healthcare, eigendom van UnitedHealth Group, weigerde te antwoorden of het losgeld aan AlphV had betaald en vertelde WIRED alleen dat “we ons momenteel op het onderzoek concentreren.”
Zowel Recorded Future als TRM Labs, een blockchain-analysebedrijf, verbinden het Bitcoin-adres dat de betaling van $22 miljoen heeft ontvangen met de AlphV-hackers. TRM Labs zegt het adres te kunnen koppelen aan betalingen van twee andere AlphV-slachtoffers in januari.
Als Change Healthcare een losgeld van 22 miljoen dollar zou betalen, zou dat niet alleen een enorme betaaldag betekenen voor AlphV, maar ook een gevaarlijk precedent voor de gezondheidszorgsector, betoogt Brett Callow, een op ransomware gerichte onderzoeker bij beveiligingsbedrijf Emsisoft. Elke ransomware-betaling, zegt hij, financiert toekomstige aanvallen door de verantwoordelijke groep en suggereert andere ransomware-roofdieren dat ze hetzelfde draaiboek moeten proberen, in dit geval door de gezondheidszorgdiensten aan te vallen waarvan patiënten afhankelijk zijn.
“Als verandering wel loont, is dat een probleem”, zegt Callow. “Het benadrukt de winstgevendheid van aanvallen op de gezondheidszorgsector. Ransomwarebendes zijn niets anders dan voorspelbaar: als ze een bepaalde sector lucratief vinden, zullen ze deze keer op keer aanvallen, spoelen en herhalen.”
De zelfbenoemde AlphV-partner die voor het eerst bewijs van de betaling op RAMP plaatste en die de naam ‘notchy’ draagt, klaagde dat AlphV blijkbaar het losgeld van $ 22 miljoen van Change Healthcare had geïnd en vervolgens het hele bedrag had gehouden, in plaats van het te delen. winst met hun hackpartner, zoals ze naar verluidt hadden afgesproken. “Wees voorzichtig allemaal en stop met de deal met ALPHV”, schreef Notchy.
De aangesloten hacker schreef ook dat ze bij hun penetratie in het netwerk van Change Healthcare toegang hadden gekregen tot de gegevens van talloze andere gezondheidszorgbedrijven die met het bedrijf samenwerkten. Als die bewering juist is, zo benadrukt Smilyanets van Recorded Future, ontstaat er een extra risico dat de aangesloten hacker nog steeds over gevoelige medische informatie beschikt. Zelfs als Change Healthcare AlphV zou betalen, zou de aangesloten hacker nog steeds aanvullende betaling kunnen eisen of de gegevens zelfstandig kunnen lekken.
“De affiliates beschikken nog steeds over deze gegevens en zijn boos dat ze dit geld niet hebben ontvangen”, zegt Smilyanets. “Het is een goede les voor iedereen. Je kunt criminelen niet vertrouwen; hun woord is niets waard.”
Wat de betalingen voor ransomware betreft, zou 22 miljoen dollar een opmerkelijk winstgevende score voor AlphV vertegenwoordigen. Slechts een relatief klein aantal losgelden in de geschiedenis van ransomware, zoals de betaling van 40 miljoen dollar door de financiële firma CNA aan de hackers die bekend staan als Evil Corp, is zo groot geweest, zegt Callow van Emsisoft. “Het is niet zonder precedent, maar het is zeker heel ongebruikelijk”, zegt hij.
Ongeacht of wordt bevestigd dat Change Healthcare dat losgeld heeft betaald, de aanval laat zien dat AlphV een verontrustende comeback heeft gemaakt: in december was het het doelwit van een FBI-operatie die zijn dark web-sites in beslag nam en decoderingssleutels vrijgaf die de aanvallen verijdelden. over honderden slachtoffers.
Slechts twee maanden later voerde het de cyberaanval uit die Change Healthcare lamlegde, wat leidde tot een storing waarvan de gevolgen voor apotheken en hun patiënten nu ruim een week hebben geduurd. Sinds afgelopen dinsdag heeft AlphV 28 bedrijven vermeld op de dark website die het gebruikt om zijn slachtoffers af te persen, Change Healthcare niet meegerekend.
Die site is inmiddels offline gegaan. Vanaf dinsdagochtend werd er iets getoond dat leek op een bevel tot inbeslagname door de wetshandhaving, maar veiligheidsonderzoeker Fabian Wosar wijst erop dat het bericht lijkt te zijn gekopieerd van de laatste verwijdering van AlphV .
De reden voor de verdwijning van de groep – hetzij als gevolg van een nieuwe wetshandhavingsoperatie of de pogingen van AlphV om zijn eigen bedrogen leden te ontwijken – is onduidelijk. Ransomware-trackers zeggen dat AlphV al meerdere keren is verdwenen en een nieuwe naam heeft gekregen. Eerdere incarnaties onder de naam BlackCat, BlackMatter en Darkside waren allemaal min of meer dezelfde groep, merken beveiligingsonderzoekers op.
In feite waren de hackers die onder die Darkside-naam werkten verantwoordelijk voor de Colonial Pipeline-ransomware-aanval in 2021 , die leidde tot de stopzetting van het gastransport langs de oostkust van de VS en resulteerde in een kortstondig brandstoftekort in sommige steden aan de oostkust. Ook in dat geval betaalden de slachtoffers het losgeld van de hackers. “Het was de moeilijkste beslissing die ik heb genomen”, vertelde Joseph Blount, CEO van Colonial, later tijdens een hoorzitting in het Amerikaanse Congres.
Nu lijkt het erop dat een aantal van dezelfde hackers een ander bedrijf tot dezelfde moeilijke beslissing hebben gedwongen.
