Der Ransomware-Angriff auf das Medizinunternehmen Change Healthcare war einer der verheerendsten seit Jahren. Er lahmlegte Apotheken in den gesamten USA – darunter auch die in Krankenhäusern – und führte landesweit zu schwerwiegenden Problemen bei der Lieferung verschreibungspflichtiger Medikamente für zehn Tage und mehr. Nun hat ein Streit innerhalb des kriminellen Untergrunds eine neue Entwicklung in diesem sich abzeichnenden Debakel ans Licht gebracht: Einer der Partner der Hacker hinter dem Angriff weist darauf hin, dass diese Hacker, eine Gruppe namens AlphV oder BlackCat, eine 22-Millionen-Dollar-Transaktion erhalten haben, die sehr aussieht ähnlich wie eine große Lösegeldzahlung.
Am 1. März erhielt eine mit AlphV verbundene Bitcoin-Adresse 350 Bitcoins in einer einzigen Transaktion, oder fast 22 Millionen US-Dollar, basierend auf den damaligen Wechselkursen. Dann, zwei Tage später, postete jemand, der sich selbst als Partner von AlphV bezeichnete – einer der Hacker, die mit der Gruppe zusammenarbeiten, um in die Netzwerke der Opfer einzudringen –, im cyberkriminellen Untergrundforum RAMP, dass AlphV sie um ihren Anteil am Lösegeld von Change Healthcare betrogen habe , zeigt auf die öffentlich sichtbare 22-Millionen-Dollar-Transaktion auf der Bitcoin-Blockchain als Beweis.
Laut Dmitry Smilyanets, dem Forscher des Sicherheitsunternehmens Recorded Future, der den Beitrag zuerst entdeckte, deutet dies darauf hin, dass Change Healthcare wahrscheinlich das Lösegeld von AlphV bezahlt hat. „Man kann sehen, wie viele Münzen dort gelandet sind. Solche Transaktionen sieht man nicht so oft“, sagt Smilyanets. „Es gibt Hinweise darauf, dass ein großer Betrag in der von AlphV kontrollierten Bitcoin-Wallet gelandet ist. Und dieser Partner verbindet diese Adresse mit dem Angriff auf Change Healthcare. Es ist also wahrscheinlich, dass das Opfer das Lösegeld bezahlt hat.“
Ein Sprecher von Change Healthcare, das zur UnitedHealth Group gehört, lehnte eine Antwort darauf ab, ob das Unternehmen ein Lösegeld an AlphV gezahlt habe, und teilte WIRED lediglich mit, dass „wir uns derzeit auf die Ermittlungen konzentrieren“.
Sowohl Recorded Future als auch TRM Labs, ein Blockchain-Analyseunternehmen, verbinden die Bitcoin-Adresse, die die 22-Millionen-Dollar-Zahlung erhalten hat, mit den AlphV-Hackern. TRM Labs gibt an, die Adresse mit Zahlungen von zwei anderen AlphV-Opfern im Januar verknüpfen zu können.
Wenn Change Healthcare tatsächlich ein Lösegeld in Höhe von 22 Millionen US-Dollar zahlen würde, wäre das nicht nur ein riesiger Zahltag für AlphV, sondern auch ein gefährlicher Präzedenzfall für die Gesundheitsbranche, argumentiert Brett Callow, ein auf Ransomware spezialisierter Forscher bei der Sicherheitsfirma Emsisoft. Jede Ransomware-Zahlung, sagt er, finanziere sowohl zukünftige Angriffe der verantwortlichen Gruppe und lege anderen Ransomware-Angreifern nahe, dasselbe Vorgehen auszuprobieren – in diesem Fall den Angriff auf Gesundheitsdienste, auf die Patienten angewiesen seien.
„Wenn Change tatsächlich bezahlt hat, ist das problematisch“, sagt Callow. „Es unterstreicht die Profitabilität von Angriffen auf den Gesundheitssektor. Ransomware-Banden sind absolut vorhersehbar: Wenn sie einen bestimmten Sektor als lukrativ erachten, greifen sie ihn immer wieder an, löschen ihn aus und wiederholen ihn.“
Der selbsternannte AlphV-Partner, der als Erster den Nachweis der Zahlung auf RAMP veröffentlichte und sich „notchy“ nennt, beschwerte sich darüber, dass AlphV offenbar das Lösegeld in Höhe von 22 Millionen US-Dollar von Change Healthcare eingezogen und dann die gesamte Summe behalten habe, anstatt sie zu teilen Gewinne mit ihrem Hacking-Partner, wie sie angeblich vereinbart hatten. „Seien Sie alle vorsichtig und beenden Sie den Deal mit ALPHV“, schrieb Notchy.