Für Change Healthcare und die bedrängten Arztpraxen, Krankenhäuser und Patienten, die darauf angewiesen sind, ist die Bestätigung seiner Erpressungszahlung an die Hacker ein bitterer Schlusspunkt zu einer ohnehin dystopischen Geschichte. Die digitale Lähmung von Change Healthcare, einer Tochtergesellschaft der UnitedHealth Group, durch AlphV hat die versicherungstechnische Genehmigung von Rezepten und medizinischen Verfahren für Hunderte von Arztpraxen und Krankenhäusern im ganzen Land beeinträchtigt und ist damit in gewisser Weise die am weitesten verbreitete Störung durch medizinische Ransomware aller Zeiten. Eine Umfrage unter Mitgliedern der American Medical Association, die zwischen dem 26. März und dem 3. April durchgeführt wurde, ergab, dass vier von fünf Ärzten infolge der Krise Einnahmen verloren hatten. Viele sagten, sie würden ihre eigenen Finanzen verwenden, um die Kosten einer Praxis zu decken. Change Healthcare gibt unterdessen an, durch den Vorfall 872 Millionen US-Dollar verloren zu haben, und geht davon aus, dass diese Zahl längerfristig auf weit über eine Milliarde ansteigen wird.
Die Bestätigung der Lösegeldzahlung durch Change Healthcare scheint nun zu zeigen, dass ein Großteil dieser katastrophalen Folgen für das US-amerikanische Gesundheitssystem eingetreten ist nach Es hatte den Hackern bereits eine exorbitante Summe gezahlt – eine Zahlung als Gegenleistung für einen Entschlüsselungsschlüssel für die Systeme, die die Hacker verschlüsselt hatten, und das Versprechen, die gestohlenen Daten des Unternehmens nicht preiszugeben. Wie es bei Ransomware-Angriffen oft der Fall ist, scheint die Störung der Systeme von AlphV so weit verbreitet gewesen zu sein, dass sich der Wiederherstellungsprozess von Change Healthcare noch lange nach Erhalt des Entschlüsselungsschlüssels zum Entsperren seiner Systeme verlängert hat.
Was Ransomware-Zahlungen betrifft, wären 22 Millionen US-Dollar nicht der Höchstbetrag, den ein Opfer ausgegeben hat. Aber es ist nah dran, sagt Brett Callow, ein auf Ransomware spezialisierter Sicherheitsforscher, der im März mit WIRED über die mutmaßliche Zahlung sprach. Nur wenige seltene Zahlungen, wie die 40 Millionen US-Dollar, die CNA Financial im Jahr 2021 an Hacker zahlte, übertreffen diese Zahl. „Es ist nicht ohne Präzedenzfall, aber es ist sicherlich sehr ungewöhnlich“, sagte Callow über die Zahl von 22 Millionen US-Dollar.
Diese Geldspritze in Höhe von 22 Millionen US-Dollar in das Ransomware-Ökosystem schürt einen Teufelskreis, der epidemische Ausmaße angenommen hat. Das Kryptowährungs-Nachverfolgungsunternehmen Chainalysis hat herausgefunden, dass Ransomware-Opfer im Jahr 2023 den Hackern, die es auf sie abgesehen haben, ganze 1,1 Milliarden US-Dollar gezahlt haben, ein neuer Rekord. Die Zahlung von Change Healthcare stellt möglicherweise nur einen kleinen Tropfen auf den heißen Stein dar. Aber es belohnt AlphV für seine äußerst schädlichen Angriffe und könnte anderen Ransomware-Gruppen den Eindruck vermitteln, dass Gesundheitsunternehmen besonders profitable Ziele sind, da diese Unternehmen besonders empfindlich auf die hohen finanziellen Kosten dieser Cyberangriffe und die damit verbundenen Risiken für die Gesundheit der Patienten reagieren.
Das Schlamassel von Change Healthcare wird durch ein offensichtliches Doppelspiel innerhalb des Ransomware-Untergrunds verschärft: Offenbar hat AlphV nach Erhalt der Zahlung von Change Healthcare seine eigene Abschaltung durch die Strafverfolgungsbehörden vorgetäuscht, um zu verhindern, dass sie sie an seine sogenannten Affiliates weitergibt, die Hacker, die mit ihm zusammenarbeiten Gruppe, um in ihrem Namen Opfer zu penetrieren. Die zweite Ransomware-Gruppe, die ChangeHealthcare bedroht, RansomHub, behauptet nun gegenüber WIRED, dass sie die gestohlenen Daten von jenen Partnern erhalten habe, die dennoch für ihre Arbeit bezahlt werden wollen.
Dadurch ist eine Situation entstanden, in der die Zahlung von Change Healthcare wenig Sicherheit dafür bietet, dass die kompromittierten Daten nicht weiterhin von verärgerten Hackern ausgenutzt werden. „Diese Partner arbeiten für mehrere Gruppen. Sie sind besorgt darüber, selbst bezahlt zu werden, und es gibt kein Vertrauen unter Dieben“, sagte DiMaggio von Analyst1 im März gegenüber WIRED. „Wenn jemand jemand anderen verarscht, weiß man nicht, was er mit den Daten machen wird.“
All das bedeutet, dass Change Healthcare immer noch kaum sicher sein kann, dass es ein noch schlimmeres Szenario als bisher vermieden hat: die Zahlung eines möglicherweise höchsten Lösegelds in der Geschichte und weiterhin die Verbreitung seiner Daten im Dark Web. „Wenn es durchsickert, nachdem sie 22 Millionen Dollar gezahlt haben, ist das so, als würde man das Geld anzünden“, warnte DiMaggio im März. „Sie hätten das Geld umsonst verbrannt.“