Na segunda-feira, de forma estranha, a listagem desses dados no site dark-web da RansomHub foi retirada. A postagem da Change Healthcare em seu site, entretanto, alerta que 22 capturas de tela de seus dados foram postadas na dark web por um grupo de hackers não identificado e que incluíam “informações de saúde protegidas (PHI) ou informações de identificação pessoal (PII)”, embora não tenha visto nenhum sinal de que registros médicos como fichas de médicos ou históricos médicos completos de pacientes estivessem entre os dados roubados.
Para a Change Healthcare e os consultórios médicos, hospitais e pacientes que dependem dela, a confirmação de seu pagamento de extorsão aos hackers adiciona um coda amargo a uma história já distópica. A paralisia digital da Change Healthcare pela AlphV atrapalhou a aprovação de seguros para receitas e procedimentos médicos para centenas de consultórios médicos e hospitais em todo o país, tornando-o, por algumas medidas, a interrupção de ransomware médico mais generalizada já vista. Uma pesquisa com membros da Associação Médica Americana realizada entre 26 de março e 3 de abril descobriu que quatro em cada cinco clínicos perderam receita como resultado da crise. Muitos disseram que estavam usando suas finanças pessoais para cobrir despesas do consultório. Enquanto isso, a Change Healthcare diz ter perdido US$872 milhões com o incidente e projeta que esse número subirá bem além de um bilhão a longo prazo.
A confirmação da Change Healthcare sobre o pagamento de resgate agora parece mostrar que grande parte desse desastre catastrófico para o sistema de saúde dos EUA se desdobrou depois que já havia pago aos hackers uma quantia exorbitante – um pagamento em troca de uma chave de descriptografia para os sistemas que os hackers haviam criptografado e a promessa de não vazar os dados roubados da empresa. Como frequentemente acontece em ataques de ransomware, a interrupção dos sistemas da AlphV parece ter sido tão generalizada que o processo de recuperação da Change Healthcare se estendeu muito depois de obter a chave de descriptografia projetada para desbloquear seus sistemas.
Em termos de pagamentos de ransomware, US$22 milhões não é o montante mais alto que uma vítima já pagou. Mas está perto, diz Brett Callow, um pesquisador de segurança focado em ransomware que falou com o WIRED sobre o pagamento suspeito em março. Apenas alguns pagamentos raros, como os $40 milhões pagos a hackers pela CNA Financial em 2021, superam esse número. “Não é sem precedentes, mas certamente é muito incomum”, disse Callow sobre o valor de $22 milhões.
Essa injeção de US$22 milhões de fundos no ecossistema de ransomware alimenta ainda mais um ciclo vicioso que alcançou proporções epidêmicas. A empresa de rastreamento de criptomoedas Chainalysis descobriu que em 2023, as vítimas de ransomware pagaram aos hackers que as visavam totalizando US$1,1 bilhão, um novo recorde. O pagamento da Change Healthcare pode representar apenas uma pequena gota nesse balde, mas recompensa a AlphV por seus ataques altamente prejudiciais e pode sugerir a outros grupos de ransomware que as empresas de saúde são alvos particularmente rentáveis, dado que essas empresas são especialmente sensíveis tanto ao alto custo desses ciberataques financeiramente quanto aos riscos que representam para a saúde dos pacientes.
A complicação adicional da confusão da Change Healthcare é uma aparente traição dentro do submundo do ransomware: a AlphV, aparentemente, simulou sua própria ação policial após receber o pagamento da Change Healthcare na tentativa de evitar compartilhá-lo com seus chamados afiliados, os hackers que se associam ao grupo para penetrar as vítimas em seu nome. O segundo grupo de ransomware que ameaça a Change Healthcare, RansomHub, agora afirma ao WIRED que obteve os dados roubados desses afiliados, que ainda querem ser pagos por seu trabalho.
Isso criou uma situação em que o pagamento da Change Healthcare proporciona pouca garantia de que seus dados comprometidos não serão explorados por hackers insatisfeitos. “Esses afiliados trabalham para múltiplos grupos. Eles estão preocupados em serem pagos, e não há confiança entre ladrões”, afirmou DiMaggio, da Analyst1, ao WIRED em março. “Se alguém enganar alguém, você não sabe o que vão fazer com os dados”.
Tudo isso significa que a Change Healthcare ainda tem pouca garantia de que evitou um cenário ainda pior do que já enfrentou: pagar o que pode ser um dos maiores resgates da história e ainda ver seus dados vazarem para a dark web. “Se for vazado depois de terem pago US$22 milhões, é praticamente como jogar esse dinheiro no fogo”, alertou DiMaggio em março. “Eles teriam queimado esse dinheiro à toa.”
