El ataque de ransomware dirigido a la empresa médica Change Healthcare ha sido uno de los más perturbadores en años, paralizando farmacias en todo Estados Unidos (incluidas las que se encuentran en hospitales) y provocando graves problemas en la entrega de medicamentos recetados en todo el país durante 10 días y contando. Ahora, una disputa dentro del mundo criminal ha revelado un nuevo desarrollo en la debacle que se está desarrollando: uno de los socios de los hackers detrás del ataque señala que esos hackers, un grupo conocido como AlphV o BlackCat, recibieron una transacción de 22 millones de dólares que parece muy muy parecido a un gran pago de rescate.
El 1 de marzo, una dirección de Bitcoin conectada a AlphV recibió 350 bitcoins en una sola transacción, o cerca de 22 millones de dólares según los tipos de cambio de ese momento. Luego, dos días después, alguien que se describió a sí mismo como afiliado de AlphV (uno de los piratas informáticos que trabajan con el grupo para penetrar las redes de las víctimas) publicó en el foro clandestino cibercriminal RAMP que AlphV les había estafado su parte del rescate de Change Healthcare. , señalando como prueba la transacción públicamente visible de 22 millones de dólares en la cadena de bloques de Bitcoin.
Eso sugiere, según Dmitry Smilyanets, el investigador de la firma de seguridad Recorded Future que vio por primera vez la publicación, que Change Healthcare probablemente haya pagado el rescate de AlphV. “Puedes ver la cantidad de monedas que cayeron allí. Este tipo de transacciones no se ven tan a menudo”, afirma Smilyanets. “Hay pruebas de que una gran cantidad llegó a la billetera Bitcoin controlada por AlphV. Y este afiliado conecta esta dirección con el ataque a Change Healthcare. Por lo tanto, es probable que la víctima haya pagado el rescate”.
Cuando WIRED contactó a United Healthcare, propietaria de Change Healthcare, un portavoz se negó a responder si había pagado un rescate a AlphV, respondiendo sólo que «estamos centrados en la investigación en este momento».
Tanto Recorded Future como TRM Labs, una empresa de análisis de blockchain, conectan la dirección de Bitcoin que recibió el pago de 22 millones de dólares con los piratas informáticos de AlphV. TRM Labs dice que puede vincular la dirección con los pagos de otras dos víctimas de AlphV en enero.
Si Change Healthcare pagara un rescate de 22 millones de dólares, no solo representaría un gran día de pago para AlphV, sino también un precedente peligroso para la industria de la atención médica, argumenta Brett Callow, investigador de ransomware de la firma de seguridad Emsisoft. Cada pago de ransomware, afirma, financia ataques futuros por parte del grupo responsable y sugiere a otros depredadores de ransomware que deberían probar el mismo manual: en este caso, atacar los servicios de atención médica de los que dependen los pacientes.
«Si Change pagó, es problemático», dice Callow. “Destaca la rentabilidad de los ataques al sector sanitario. Las bandas de ransomware no son más que predecibles: si encuentran que un sector en particular es lucrativo, lo atacarán una y otra vez, lo aclararán y repetirán”.
El autodenominado afiliado de AlphV que publicó por primera vez pruebas del pago en RAMP, y que se conoce con el nombre de “notchy”, se quejó de que AlphV aparentemente había cobrado el rescate de 22 millones de dólares de Change Healthcare y luego se había quedado con la suma completa, en lugar de compartir el dinero. obtener ganancias con su socio pirata como supuestamente habían acordado. «Tengan cuidado todos y dejen de lidiar con ALPHV», escribió notchy.