Seit Monaten sieht sich Change Healthcare mit einem äußerst chaotischen Ransomware-Debakel konfrontiert, das dazu geführt hat, dass Hunderte von Apotheken und Arztpraxen in den Vereinigten Staaten keine Ansprüche mehr bearbeiten konnten. Dank eines offensichtlichen Streits innerhalb des kriminellen Ransomware-Ökosystems ist die Lage möglicherweise noch viel chaotischer geworden.
Im März erhielt die Ransomware-Gruppe AlphV, die behauptet hatte, das Netzwerk von Change Healthcare verschlüsselt zu haben, und gedroht hatte, Unmengen sensibler Gesundheitsdaten des Unternehmens preiszugeben, eine Zahlung in Höhe von 22 Millionen US-Dollar – öffentlich auf der Bitcoin-Blockchain erfasste Beweise, die Change Healthcare höchstwahrscheinlich hatte gab der Lösegeldforderung seiner Peiniger nach, obwohl das Unternehmen die Zahlung noch nicht bestätigt hat. Aber in einer neuen Definition einer Worst-Case-Ransomware, a anders Die Ransomware-Gruppe behauptet, im Besitz der gestohlenen Daten von Change Healthcare zu sein und verlangt eine eigene Zahlung.
Seit Montag hat RansomHub, eine relativ neue Ransomware-Gruppe, auf ihrer Dark-Web-Site veröffentlicht, dass sie über 4 Terabyte der gestohlenen Daten von Change Healthcare verfügt und damit gedroht hat, sie an den „Meistbietenden“ zu verkaufen, wenn Change Healthcare keinen nicht näher bezeichneten Betrag zahlt Lösegeld. RansomHub teilt WIRED mit, dass es nicht mit AlphV verbunden ist und „nicht sagen kann“, wie viel es als Lösegeld verlangt.
RansomHub weigerte sich zunächst, Beispieldaten aus diesem gestohlenen Schatz zu veröffentlichen oder WIRED zur Verfügung zu stellen, um seine Behauptung zu beweisen. Doch am Freitag schickte ein Vertreter der Gruppe WIRED mehrere Screenshots von scheinbar Patientenakten und einem Datenaustauschvertrag für United Healthcare, dem Eigentümer von Change Healthcare, und Emdeon, das Change Healthcare 2014 erwarb und später seinen Namen annahm.
Während WIRED die Behauptungen von RansomHub nicht vollständig bestätigen konnte, deuten die Proben darauf hin, dass es sich bei diesem zweiten Erpressungsversuch gegen Change Healthcare möglicherweise um mehr als eine leere Drohung handelt. „Für alle, die daran zweifeln, dass wir über die Daten verfügen, und für alle, die über die Kritikalität und Sensibilität der Daten spekulieren, sollten die Bilder ausreichen, um das Ausmaß und die Bedeutung der Situation zu zeigen und die unrealistischen und kindischen Theorien zu klären“, erklärt der RansomHub-Kontakt WIRED in einer E-Mail.
„Wir arbeiten mit Strafverfolgungsbehörden und externen Experten zusammen, um online veröffentlichte Ansprüche zu untersuchen, um das Ausmaß der möglicherweise betroffenen Daten zu verstehen“, sagte Change Healthcare in einer E-Mail an WIRED. „Unsere Ermittlungen bleiben aktiv und dauern an. Es gibt keine Hinweise auf einen neuen Cybervorfall bei Change Healthcare.“
Brett Callow, ein Ransomware-Analyst bei der Sicherheitsfirma Emsisoft, sagt, er glaube, dass AlphV ursprünglich keine Daten zu dem Vorfall veröffentlicht habe und die Herkunft der Daten von RansomHub unklar sei. „Ich weiß natürlich nicht, ob die Daten echt sind – sie könnten von woanders stammen –, aber ich sehe auch nichts, was darauf hindeutet, dass sie möglicherweise nicht authentisch sind“, sagt er über die von RansomHub geteilten Daten.
Jon DiMaggio, Chef-Sicherheitsstratege beim Threat-Intelligence-Unternehmen Analyst1, sagt, er glaube, dass RansomHub „die Wahrheit sagt und über die Daten von Change HealthCare verfügt“, nachdem er die an WIRED gesendeten Informationen überprüft hat. Während RansomHub ein neuer Ransomware-Bedrohungsakteur ist, gewinnen sie laut DiMaggio schnell „an Fahrt“.
Wenn die Behauptungen von RansomHub wahr sind, bedeutet das, dass die ohnehin schon katastrophale Ransomware-Situation von Change Healthcare zu einer Art warnendem Beispiel dafür geworden ist, wie gefährlich es ist, darauf zu vertrauen, dass Ransomware-Gruppen ihre Versprechen einhalten, selbst nachdem ein Lösegeld gezahlt wurde. Im März postete jemand, der sich „notchy“ nennt, in einem russischen Cyberkriminalitätsforum, dass AlphV die Zahlung in Höhe von 22 Millionen US-Dollar eingesteckt habe und verschwunden sei, ohne eine Provision mit den „affinen“ Hackern zu teilen, die normalerweise mit Ransomware-Gruppen zusammenarbeiten und häufig in die Netzwerke der Opfer eindringen in ihrem Namen.