Najpierw jedno wyłudzenie, a teraz drugie?

Change Healthcare to spółka zależna UnitedHealth Group, firmy zajmującej się ubezpieczeniami zdrowotnymi i usługami. Przetwarza co roku miliardy transakcji związanych z opieką zdrowotną, nic więc dziwnego, że atak ransomware sparaliżował system opieki zdrowotnej w całych Stanach Zjednoczonych. Pod koniec lutego, mniej więcej tydzień po incydencie, gang zajmujący się oprogramowaniem ransomware Alphv/BlackCat przyznał się do zakłócania działalności Change Healthcare i kradzieży ponad 4 TB danych, w tym danych osobowych, szczegółów płatności, zapisów ubezpieczeniowych i innych poufnych informacji.

Tydzień później grupa zajmująca się wyłudzaniem okupów, która przetrwała działania organów ścigania w grudniu 2023 r., ogłosiła, że FBI ponownie dokonało na nią nalotu i na dobre zamyka firmę.

Posunięcie to było jednak prawdopodobnie popularną „ściemą” – operatorzy BlackCat nie chcieli zapewne podzielić się kwotą okupu w wysokości 22 milionów dolarów, którą grupa UnitedHealth najwyraźniej zapłaciła zaledwie dzień wcześniej.

Zazwyczaj w przypadku operacji typu ransomware jako usługa (RaaS), takiej jak BlackCat, 80% przychodów trafia do podmiotu stowarzyszonego odpowiedzialnego za włamanie i kradzież danych, a pozostałe 20% do operatorów oprogramowania ransomware, którzy dostarczają złośliwy kod oraz infrastrukturę i są odpowiedzialni za negocjacje z ofiarami.

Teraz, miesiąc po oszustwie związanym z wyjściem BlackCat, grupa RaaS o nazwie RansomHub umieściła na swojej stronie wycieków Change Healthcare, twierdząc, że jest w posiadaniu 4 TB skradzionych danych i grożąc ich upublicznieniem, jeśli nie zostanie zapłacony okup.

Administratorzy grupy RansomHub poinformowali członków projektu badawczego Vx-Underground, że byli współpracownicy BlackCat aktywnie przyłączają się do ich operacji, wyjaśniając w ten sposób, w jaki sposób zdobyli dane Change Healthcare.

Fakt, że Change Healthcare znów jest szantażowany, nie zaskakuje. Informacje skradzione podczas lutowego ataku były w posiadaniu partnera, który nie otrzymał tego, co według niego operator był mu winien, i postanowił dołączyć do innej grupy, aby zażądać kolejnej zapłaty okupu.

Najprawdopodobniej duża – i stosunkowo szybka – płatność dokonana przez Change Healthcare na początku marca umocniła cyberprzestępców w przekonaniu, że firma zapłaci ponownie, aby zapobiec wyciekowi informacji o swoich klientach.

RansomHub to nowa grupa RaaS, która ujawniła się w lutym 2024 r., ale ma na koncie już kilkanaście ofiar. Grupa zabrania ataków na organizacje na Kubie, w Chinach, Korei Północnej i krajach WNP, a także na podmioty non-profit.

Nie chcemy ich reklamować, ale w RansomHub partnerzy otrzymują płatności jako pierwsi i mogą zatrzymać 90% wpływów. W przypadku hakera Change Healthcare jest to rozwiązanie problemu braku zaufania spowodowanego oszustwem pierwotnego operatora usługi.

Chociaż niektórzy teoretyzują, że RansomHub może być rebrandingiem BlackCat, mającym na celu skłonienie Change Healthcare do zapłacenia kolejnego okupu, SOCRadar zwraca uwagę, że strona z wyciekami grupy pojawiła się przed oszustwem związanym z wyjściem, co sugeruje, iż mogła to być inna operacja, która przejęła byłych partnerów BlackCat. Niezależnie od pochodzenia RansomHub fakt, że Change Healthcare jest ponownie szantażowany, przypomina wszystkim ofiarom oprogramowania ransomware, że nie powinny płacić okupu, ponieważ nie gwarantuje to zwrotu lub usunięcia skradzionych danych i może zachęcić przestępców do ponownych ataków.