Na segunda-feira, de forma estranha, o anúncio desses dados no site dark-web da RansomHub havia sido retirado. A postagem da Change Healthcare em seu site, no entanto, alerta que 22 capturas de tela de seus dados foram postadas na dark web por um grupo de hackers não identificado e que incluíam “informações de saúde protegidas (PHI) ou informações de identificação pessoal (PII)”, embora tenha dito que não viu nenhum sinal de que os registros médicos, como os gráficos dos médicos ou históricos médicos completos dos pacientes, estivessem entre os dados roubados.
Para a Change Healthcare e para as práticas médicas, hospitais e pacientes atribulados que dependem dela, a confirmação do pagamento de resgate aos hackers adiciona um coda amargo a uma história já distópica. A paralisia digital da AlphV na Change Healthcare atrapalhou a aprovação de seguros para prescrições e procedimentos médicos em centenas de práticas médicas e hospitais em todo o país, tornando-se, por algumas medidas, a interrupção de ransomware médico mais difundida já registrada. Uma pesquisa realizada entre os membros da American Medical Association entre 26 de março e 3 de abril constatou que quatro entre cinco clínicos tiveram prejuízos como resultado da crise. Muitos afirmaram estar usando suas finanças pessoais para cobrir as despesas de uma prática. Enquanto isso, a Change Healthcare afirmou ter perdido US $872 milhões com o incidente e projeta que esse valor ultrapassará a marca de um bilhão a longo prazo.
A confirmação do pagamento de resgate da Change Healthcare agora parece mostrar que grande parte desse catastrófico colapso para o sistema de saúde dos EUA se desdobrou após ela já ter pago uma quantia exorbitante a hackers – um pagamento em troca de uma chave de descriptografia para os sistemas que os hackers haviam criptografado e uma promessa de não vazar os dados roubados da empresa. Como muitas vezes acontece em ataques de ransomware, a interrupção dos sistemas pela AlphV parece ter sido tão generalizada que o processo de recuperação da Change Healthcare se estendeu muito depois de ela ter obtido a chave de descriptografia projetada para desbloquear seus sistemas.
Em termos de pagamentos de resgate por ransomware, US $22 milhões não é a quantia mais alta que uma vítima já desembolsou. Mas está perto, diz Brett Callow, pesquisador de segurança focado em ransomware que falou com a WIRED sobre o pagamento suspeito em março. Apenas alguns pagamentos raros, como os US $40 milhões pagos a hackers pela CNA Financial em 2021, superam esse valor. “Não é algo sem precedentes, mas certamente é muito incomum”, Callow disse sobre o valor de US $22 milhões.
Essa injeção de US $22 milhões no ecossistema de ransomware alimenta ainda mais um ciclo vicioso que atingiu proporções epidêmicas. A empresa de rastreamento de criptomoedas Chainalysis descobriu que, em 2023, as vítimas de ransomware pagaram aos hackers que as visavam um total de US $1,1 bilhão, um novo recorde. O pagamento da Change Healthcare pode representar apenas uma pequena gota nesse balde, mas tanto recompensa a AlphV por seus ataques altamente prejudiciais, bem como pode sugerir a outros grupos de ransomware que as empresas de saúde são alvos particularmente lucrativos, dado que essas empresas são especialmente sensíveis tanto ao alto custo financeiro desses ciberataques quanto aos riscos que representam para a saúde dos pacientes.
A complicação da situação da Change Healthcare é uma aparente traição no submundo de ransomware: a AlphV, ao que tudo indica, simulou sua própria ação policial depois de receber o pagamento da Change Healthcare, numa tentativa de evitar compartilhá-lo com seus chamados afiliados, os hackers que se associam ao grupo para penetrar vítimas em seu nome. O segundo grupo de ransomware que ameaça a Change Healthcare, RansomHub, agora afirma à WIRED que eles obtiveram os dados roubados desses afiliados, que ainda querem ser pagos por seu trabalho.
Isso criou uma situação em que o pagamento da Change Healthcare não oferece muita garantia de que seus dados comprometidos não serão explorados por hackers insatisfeitos. “Esses afiliados trabalham para vários grupos. Eles se preocupam em serem pagos, e não há confiança entre os ladrões”, DiMaggio da Analyst1 disse à WIRED em março. “Se alguém trapaceia outra pessoa, você não sabe o que eles vão fazer com os dados.”
Tudo isso significa que a Change Healthcare ainda tem pouca garantia de que evitou um cenário ainda pior do que enfrentou até agora: pagar o que talvez seja um dos maiores resgates da história e ainda ver seus dados sendo divulgados na dark web. “Se vazar depois de terem pago US $22 milhões, é praticamente como colocar esse dinheiro em chamas”, DiMaggio alertou em março. “Eles teriam queimado aquele dinheiro por nada.”
