Change Healthcare Finalmente Admite Que Pagou Hackers de Ransomware $22 Milhões—e Ainda Enfrenta Vazamento de Dados do Paciente

Desde segunda-feira, estranhamente, a listagem desses dados no site dark-web da RansomHub foi retirada. A publicação da Change Healthcare em seu site, no entanto, adverte que 22 capturas de tela de seus dados foram postadas na dark web por um grupo de hackers não identificado e incluíam “informações de saúde protegidas (PHI) ou informações de identificação pessoal (PII)”, embora não tenha visto nenhum sinal de que registros médicos como prontuários de médicos ou históricos médicos completos de pacientes estivessem entre os dados roubados. Para a Change Healthcare e os consultórios médicos, hospitais e pacientes sobrecarregados que dependem dela, a confirmação do pagamento de extorsão aos hackers adiciona um amargo epílogo a uma história já distópica. A paralisia digital da Change Healthcare pela AlphV travou a aprovação de seguros para receitas e procedimentos médicos para centenas de consultórios médicos e hospitais em todo o país, tornando-a, por algumas medidas, a interrupção de ransomware médico mais disseminada de sempre. Uma pesquisa com membros da American Medical Association realizada entre 26 de março e 3 de abril constatou que quatro em cada cinco clínicos perderam receita como resultado da crise. Muitos disseram que estavam usando suas finanças pessoais para cobrir as despesas do consultório. Enquanto isso, a Change Healthcare diz que perdeu US$ 872 milhões com o incidente e projeta que esse número subirá para bem mais de um bilhão a longo prazo. A confirmação do pagamento de resgate da Change Healthcare agora parece mostrar que grande parte desse catastrófico colapso para o sistema de saúde dos EUA se desenrolou depois que a empresa já havia pago uma quantia exorbitante aos hackers – um pagamento em troca de uma chave de descriptografia para os sistemas que os hackers haviam criptografado e uma promessa de não vazar os dados roubados da empresa. Como frequentemente ocorre em ataques de ransomware, parece que a interrupção dos sistemas pela AlphV foi tão generalizada que o processo de recuperação da Change Healthcare se estendeu muito além de quando obteve a chave de descriptografia para desbloquear seus sistemas. Em termos de pagamentos de resgate de ransomware, US$ 22 milhões não é a maior quantia que uma vítima já pagou. Mas está perto, diz Brett Callow, um pesquisador de segurança focado em ransomware que conversou com a WIRED sobre o pagamento suspeito em março. Apenas alguns pagamentos raros, como os US$ 40 milhões pagos a hackers pela CNA Financial em 2021, superam esse valor. “Não é sem precedentes, mas certamente é muito incomum”, disse Callow sobre os US$ 22 milhões. Esse aporte de US$ 22 milhões no ecossistema de ransomware alimenta ainda mais um ciclo vicioso que atingiu proporções epidêmicas. A empresa de rastreamento de criptomoedas Chainalysis descobriu que, em 2023, as vítimas de ransomware pagaram aos hackers que as visavam um total de US$ 1,1 bilhão, um novo recorde. O pagamento da Change Healthcare pode representar apenas uma pequena parte desse montante, mas tanto recompensa a AlphV por seus ataques altamente danosos quanto pode sugerir a outros grupos de ransomware que as empresas de saúde são alvos especialmente lucrativos, dado que essas empresas são especialmente sensíveis tanto ao alto custo financeiro desses ciberataques quanto aos riscos que representam para a saúde dos pacientes. A complicação na situação da Change Healthcare é uma aparente traição dupla dentro do submundo do ransomware: a AlphV, pelo que parece, forjou seu próprio falso desmantelamento pelas autoridades após receber o pagamento da Change Healthcare na tentativa de evitar compartilhá-lo com seus chamados afiliados, os hackers que colaboram com o grupo para penetrar vítimas em seu nome. O segundo grupo de ransomware que ameaça a Change Healthcare, a RansomHub, agora afirma à WIRED que obteve os dados roubados desses afiliados, que ainda querem ser pagos pelo seu trabalho. Isso criou uma situação em que o pagamento da Change Healthcare não proporciona muita segurança de que seus dados comprometidos não serão explorados ainda por hackers insatisfeitos. “Esses afiliados trabalham para vários grupos. Eles estão preocupados em ser pagos, e não há confiança entre ladrões”, disse DiMaggio, da Analyst1, à WIRED em março. “Se alguém enganar o outro, você não sabe o que vão fazer com os dados”. Tudo isso significa que a Change Healthcare ainda tem pouca garantia de que evitou um cenário ainda pior do que já enfrentou: pagar o que pode ser um dos maiores resgates da história e ainda ver seus dados vazados na dark web. “Se vazar depois de pagarem US$ 22 milhões, é praticamente como se estivessem queimando esse dinheiro”, alertou DiMaggio em março. “Eles teriam queimado esse dinheiro à toa”.