Le ransomware se porte bien
-
Change Healthcare (USA) fait face à une autre menace de ransomware – et elle semble crédible
Les pirates ont déjà reçu un paiement de 22 millions de dollars. Aujourd’hui, un deuxième groupe réclame de l’argent.
Depuis des mois, Change Healthcare est confrontée à une débâcle extrêmement compliquée liée aux ransomwares qui a empêché des centaines de pharmacies et de cabinets médicaux à travers les États-Unis de traiter les réclamations. Aujourd’hui, en raison d’un conflit apparent au sein de l’écosystème criminel des ransomwares, la situation est peut-être devenue encore plus compliquée.
En mars, le groupe de ransomware AlphV, qui avait revendiqué le cryptage du réseau de Change Healthcare et menacé de divulguer des quantités de données sensibles sur les soins de santé de l’entreprise, a reçu un paiement de 22 millions de dollars – preuve, capturée publiquement sur la blockchain de Bitcoin, que Change Healthcare avait très probablement a cédé à la demande de rançon de ses bourreaux, même si l’entreprise n’a pas encore confirmé qu’elle avait payé. Mais dans une nouvelle définition du pire cas de ransomware, un autre groupe de ransomware prétend détenir les données volées de Change Healthcare et exige son propre paiement.
Depuis lundi, RansomHub, un groupe de ransomware relativement nouveau, a publié sur son site Web sombre qu’il détenait 4 téraoctets de données volées à Change Healthcare, qu’il menaçait de vendre au « plus offrant » si Change Healthcare ne payait pas un montant non précisé. une rançon. RansomHub dit à WIRED qu’il n’est pas affilié à AlphV et « ne peut pas dire » combien il exige en guise de paiement de rançon.
RansomHub a initialement refusé de publier ou de fournir à WIRED des échantillons de données de ce trésor volé pour prouver ses affirmations. Mais vendredi, un représentant du groupe a envoyé à WIRED plusieurs captures d’écran de ce qui semblait être des dossiers de patients et un contrat de partage de données pour United Healthcare, propriétaire de Change Healthcare, et Emdeon, qui a acquis Change Healthcare en 2014 et a ensuite pris son nom.
Bien que WIRED n’ait pas pu confirmer pleinement les affirmations de RansomHub, les échantillons suggèrent que cette deuxième tentative d’extorsion contre Change Healthcare pourrait être plus qu’une vaine menace. “Pour tous ceux qui doutent que nous disposions des données, et pour tous ceux qui spéculent sur le caractère critique et sensible des données, les images devraient suffire à montrer l’ampleur et l’importance de la situation et à dissiper les théories irréalistes et enfantines”, a déclaré le contact de RansomHub. WIRED dans un e-mail.
Change Healthcare n’a pas immédiatement répondu à la demande de commentaires de WIRED sur la demande d’extorsion de RansomHub.
Brett Callow, analyste des ransomwares auprès de la société de sécurité Emsisoft, affirme qu’il pense qu’AlphV n’a initialement publié aucune donnée sur l’incident et que l’origine des données de RansomHub n’est pas claire. « Je ne sais évidemment pas si les données sont réelles – elles auraient pu être extraites d’ailleurs – mais je ne vois rien non plus qui indique qu’elles pourraient ne pas être authentiques », dit-il à propos des données partagées par RansomHub.
Jon DiMaggio, stratège en chef de la sécurité de la société de renseignement sur les menaces Analyst1, affirme qu’il pense que RansomHub « dit la vérité et possède les données de Change HealthCare », après avoir examiné les informations envoyées à WIRED. Bien que RansomHub soit un nouvel acteur de la menace de ransomware, dit DiMaggio, ils « prennent rapidement de l’ampleur ».
Si les affirmations de RansomHub sont réelles, cela signifiera que l’épreuve déjà catastrophique de Change Healthcare en matière de ransomware est devenue une sorte de mise en garde sur les dangers de faire confiance aux groupes de ransomware pour tenir leurs promesses, même après le paiement d’une rançon. En mars, quelqu’un surnommé « Notchy » a posté sur un forum de cybercriminels russe qu’AlphV avait empoché ce paiement de 22 millions de dollars et avait disparu sans partager de commission avec les pirates informatiques « affiliés » qui s’associent généralement à des groupes de ransomwares et pénètrent souvent dans les réseaux des victimes. en leur nom.
Le message de Notchy suggérait que Change Healthcare était confronté à une situation sans précédent : l’entreprise aurait déjà payé une rançon, mais les partenaires du gang qui l’extorquaient avaient toujours l’impression qu’on leur devait de l’argent et possédaient toujours les données volées de Change Healthcare. RansomHub indique à WIRED qu’il est associé à Notchy.
RansomHub a désormais affirmé que « les données restent chez l’affilié » et qu’AlphV ne disposait pas directement des données à l’origine. WIRED n’a pas pu vérifier ces affirmations. “Pour tous ceux qui spéculent et théorisent sur la situation, AlphV a volé notre part du paiement et a réalisé une arnaque à la sortie”, a écrit un représentant de RansomHub à WIRED. “AlphV a effectué l’arnaque de sortie avant d’arriver à la partie suppression des données.”
Callow affirme que l’incident renforce le fait qu’on ne peut pas faire confiance aux cybercriminels pour supprimer des données, même lorsqu’ils sont payés. Par exemple, lorsqu’une opération mondiale d’application de la loi a perturbé le célèbre groupe de ransomware LockBit , en février, la police a déclaré avoir découvert que les cybercriminels disposaient toujours de données que les enquêteurs avaient payé pour les supprimer.
« Parfois, ils utilisent les données non supprimées pour extorquer les victimes une seconde fois, et le risque de nouvelle extorsion ne fera qu’augmenter à mesure que les forces de l’ordre intensifient leurs efforts de perturbation et plongent l’écosystème des ransomwares dans le chaos », explique Callow. « Ce qui a toujours été des résultats imprévisibles le sera désormais encore plus. »
De même, DiMaggio affirme que les victimes d’attaques de ransomware doivent apprendre qu’elles ne peuvent pas faire confiance aux cybercriminels. “Les victimes doivent comprendre que payer un criminel qui promet de supprimer définitivement leurs données est un mythe”, déclare DiMaggio. « Ils paient pour que leurs données soient retirées du côté public du site de fuite de données des attaquants de ransomware. Ils devraient supposer qu’il n’est jamais réellement supprimé.
Le site Web de UnitedHealth Group indique qu’il continue de « progresser dans l’atténuation de l’impact » de l’attaque et d’élargir l’aide financière aux prestataires de soins de santé touchés. Cependant, l’attaque a eu des répercussions durables dans les établissements médicaux aux États-Unis, démontrant à quel point les attaques de ransomware peuvent être perturbatrices et les difficultés de restauration des services. Les cliniciens comme les patients ont été touchés, avec une pression supplémentaire exercée sur les propriétaires d’entreprises médicales.
Mercredi, l’American Medical Association a déclaré que « de graves perturbations se poursuivent » dans les cabinets médicaux. Une enquête auprès des membres de l’AMA, menée entre le 26 mars et le 3 avril, a révélé que 80 pour cent des cliniciens avaient perdu des revenus et que nombre d’entre eux utilisaient leurs propres finances personnelles pour couvrir les dépenses d’un cabinet. Les médecins ayant répondu à l’enquête ont déclaré qu’ils se dirigeaient vers la faillite, qu’ils avaient du mal à « gérer les soins contre la douleur » des patients atteints de cancer et que les procédures avaient été retardées. “Les cabinets fermeront à cause de cet incident”, a déclaré Jesse M. Ehrenfeld, président de l’AMA dans un communiqué , “et les patients perdront l’accès à leurs médecins”.
Dans un message adressé à WIRED, le contact de RansomHub affirme – peu importe ce que vaut la parole d’un gang de ransomwares – qu’ils sont différents des autres cybercriminels et que si Change Healthcare les paie, ils n’essaieront plus de l’extorquer. “Nous supprimerons les données”, écrivent-ils. « Ces données sont une bombe pour nous. Si nous ne pouvons pas obtenir de paiement, nous n’avons d’autre choix que de le vendre. Bien sûr, si nous parvenons à un accord, il vaudra mieux supprimer les données et jeter la bombe.»
