Na segunda-feira, estranhamente, a listagem dos dados no site dark-web da RansomHub foi removida. A postagem da Change Healthcare em seu site, no entanto, alerta que 22 capturas de tela de seus dados foram postadas na dark web por um grupo de hackers não identificado, e que incluíam “informações de saúde protegidas (PHI) ou informações de identificação pessoal (PII)”, embora afirmasse não ter visto nenhum sinal de que registros médicos, como gráficos de médicos ou históricos médicos completos de pacientes, estivessem entre os dados roubados.
Para a Change Healthcare e para as práticas médicas, hospitais e pacientes que dependem dela, a confirmação do pagamento de extorsão aos hackers adiciona um coda amargo a uma história já distópica. A paralisia digital da Change Healthcare pela AlphV interrompeu a aprovação de seguros para receitas e procedimentos médicos para centenas de práticas médicas e hospitais em todo o país, tornando-se, por algumas medidas, a interrupção de ransomware médico mais disseminada da história. Uma pesquisa com membros da American Medical Association realizada entre 26 de março e 3 de abril constatou que quatro em cada cinco clínicos tiveram perdas de receita como resultado da crise. Muitos afirmaram estar usando suas finanças pessoais para cobrir as despesas da prática. Enquanto isso, a Change Healthcare declarou que perdeu US$ 872 milhões com o incidente e projeta que esse número ultrapassará facilmente um bilhão a longo prazo.
A confirmação do pagamento de resgate da Change Healthcare agora parece mostrar que grande parte desse caos catastrófico para o sistema de saúde dos EUA se desdobrou depois que a empresa já havia pago uma quantia exorbitante – um pagamento em troca de uma chave de descriptografia para os sistemas que os hackers haviam criptografado e uma promessa de não vazar os dados roubados da empresa. Como muitas vezes acontece em ataques de ransomware, a interrupção dos sistemas pela AlphV parece ter sido tão generalizada que o processo de recuperação da Change Healthcare se estendeu muito tempo depois que obteve a chave de descriptografia projetada para desbloquear seus sistemas.
Em termos de pagamentos de ransomware, US$ 22 milhões não é a quantia mais alta que uma vítima já forneceu. Mas está perto, disse Brett Callow, um pesquisador de segurança focado em ransomware que falou com a WIRED sobre o pagamento suspeito em março. Apenas alguns pagamentos raros, como os US$ 40 milhões pagos a hackers pela CNA Financial em 2021, superam esse valor. “Não é sem precedentes, mas certamente é muito incomum,” disse Callow sobre a cifra de US$ 22 milhões.
Essa injeção de US$ 22 milhões de fundos no ecossistema de ransomware alimenta ainda mais um ciclo vicioso que alcançou proporções epidêmicas. A firma de rastreamento de criptomoedas Chainalysis descobriu que, em 2023, as vítimas de ransomware pagaram aos hackers que as visavam totalmente US$ 1,1 bilhão, um novo recorde. O pagamento da Change Healthcare pode representar apenas uma pequena parte desse montante, mas tanto recompensa a AlphV por seus ataques altamente prejudiciais quanto pode sugerir a outros grupos de ransomware que as empresas de saúde são alvos especialmente lucrativos, dado que essas empresas são especialmente sensíveis tanto ao alto custo financeiro desses ciberataques quanto aos riscos que representam para a saúde dos pacientes.
Complicando ainda mais a situação da Change Healthcare está uma aparente traição dentro do submundo do ransomware: a AlphV, aparentemente, forjou sua própria derrubada por aplicação da lei após receber o pagamento da Change Healthcare na tentativa de evitar compartilhá-lo com seus chamados afiliados, os hackers que trabalham em parceria com o grupo para penetrar nas vítimas em seu nome. O segundo grupo de ransomware que ameaça a Change Healthcare, a RansomHub, agora afirma à WIRED que obteve os dados roubados desses afiliados, que ainda querem ser pagos pelo seu trabalho.
Isso criou uma situação em que o pagamento da Change Healthcare oferece pouca garantia de que seus dados comprometidos não serão ainda explorados por hackers insatisfeitos. “Esses afiliados trabalham para vários grupos. Eles estão preocupados em receber seus pagamentos e não há confiança entre os ladrões,” disse DiMaggio da Analyst1 à WIRED em março. “Se alguém enganar alguém, você não sabe o que eles vão fazer com os dados.”
Tudo isso significa que a Change Healthcare ainda tem pouca garantia de que evitou um cenário ainda pior do que o que enfrentou até agora: pagar o que pode ser um dos maiores resgates da história e ainda ver seus dados vazados para a dark web. “Se vazar depois que pagaram US$ 22 milhões, é praticamente como incendiar esse dinheiro,” DiMaggio alertou em março. “Eles teriam queimado esse dinheiro à toa.”
