A partir de segunda-feira, estranhamente, a listagem desses dados no site dark-web do RansomHub havia sido removida. Por outro lado, a publicação da Change Healthcare em seu site avisa que 22 capturas de tela de seus dados foram postadas na dark web por um grupo de hackers não identificado e que incluíam “informações de saúde protegidas (PHI) ou informações de identificação pessoal (PII)”, embora não tenha visto nenhum sinal de que registros médicos como gráficos de médicos ou históricos médicos completos de pacientes estivessem entre os dados roubados.
Para a Change Healthcare e os consultórios médicos, hospitais e pacientes atormentados que dependem dela, a confirmação do pagamento de extorsão aos hackers adiciona um epílogo amargo a uma história já distópica. A paralisia digital da Change Healthcare pela AlphV atrapalhou a aprovação de seguros para receitas e procedimentos médicos para centenas de consultórios médicos e hospitais em todo o país, tornando-se, por algumas medidas, a interrupção de ransomware médico mais ampla já registrada. Uma pesquisa realizada entre membros da American Medical Association entre 26 de março e 3 de abril constatou que quatro em cada cinco médicos haviam perdido receita como resultado da crise. Muitos disseram que estavam usando suas próprias finanças pessoais para cobrir as despesas de um consultório. Enquanto isso, relatos indicam que a Change Healthcare perdeu um valor significativo com o incidente e projeta que esse número subirá bem acima de um bilhão a longo prazo.
A confirmação do pagamento de resgate da Change Healthcare agora parece mostrar que grande parte das consequências catastróficas para o sistema de saúde dos EUA se desdobrou após o pagamento de uma quantia exorbitante aos hackers – um pagamento em troca de uma chave de descriptografia para os sistemas que os hackers haviam criptografado e uma promessa de não vazar os dados roubados da empresa. Como frequentemente ocorre em ataques de ransomware, a interrupção dos sistemas pela AlphV parece ter sido tão generalizada que o processo de recuperação da Change Healthcare se prolongou muito depois de obter a chave de descriptografia para desbloquear seus sistemas.
Quando se trata de pagamentos de ransomware, $22 milhões não é a quantia mais alta que uma vítima já desembolsou. Mas está perto, segundo Brett Callow, um pesquisador de segurança focado em ransomware que falou com WIRED sobre o pagamento suspeito em março. Apenas alguns raros pagamentos, como os $40 milhões pagos a hackers pela CNA Financial em 2021, superam esse número. “Não é sem precedentes, mas certamente é muito incomum” disse Callow sobre os $22 milhões.
Esse aporte de $22 milhões de dólares no ecossistema de ransomware alimenta ainda mais um ciclo vicioso que atingiu proporções epidêmicas. A empresa de rastreamento de criptomoedas Chainalysis descobriu que em 2023, vítimas de ransomware pagaram aos hackers que as atacaram um total de $1,1 bilhão, um novo recorde. O pagamento da Change Healthcare pode representar apenas uma pequena gota nesse balde, mas tanto recompensa a AlphV por seus ataques altamente danosos quanto pode sugerir a outros grupos de ransomware que as empresas de saúde são alvos particularmente lucrativos, uma vez que essas empresas são especialmente sensíveis aos altos custos financeiros desses ciberataques e aos riscos que representam para a saúde dos pacientes.
A complicação da situação da Change Healthcare é uma aparente traição dentro do submundo do ransomware: a AlphV, aparentemente, fingiu ser alvo de uma ação policial depois de receber o pagamento da Change Healthcare na tentativa de evitar compartilhá-lo com seus chamados afiliados, os hackers que trabalham em parceria com o grupo para penetrar em vítimas em seu nome. O segundo grupo de ransomware que ameaça a Change Healthcare, RansomHub, afirma agora à WIRED que obteve os dados roubados desses afiliados, que ainda desejam ser pagos pelo seu trabalho.
Isso criou uma situação em que o pagamento da Change Healthcare oferece pouca garantia de que seus dados comprometidos não serão explorados por hackers insatisfeitos. “Esses afiliados trabalham para múltiplos grupos. Eles estão preocupados em serem pagos, e não há confiança entre ladrões”, disse DiMaggio da Analyst1 à WIRED em março. “Se alguém prejudica alguém, você não sabe o que eles farão com os dados.”
Tudo isso significa que a Change Healthcare ainda tem pouca garantia de que evitou um cenário ainda pior do que o que enfrentou: pagar o que pode ser um dos maiores resgates na história e ainda ver seus dados vazados na dark web. “Se for vazado depois de pagarem $22 milhões, é praticamente como colocar esse dinheiro fogo”, alertou DiMaggio em março. “Eles teriam queimado esse dinheiro à toa.”
