Na segunda-feira, de forma estranha, a listagem daqueles dados no site dark-web da RansomHub foi retirada. A postagem da Change Healthcare em seu site, no entanto, alerta que 22 capturas de tela de seus dados foram postadas na dark web por um grupo de hackers não identificado, e que incluíam “informações de saúde protegidas (PHI) ou informações de identificação pessoal (PII)”, embora não tenha visto nenhum sinal de que registros médicos como prontuários de médicos ou históricos médicos completos de quaisquer pacientes estavam entre os dados roubados.
Para a Change Healthcare e os estabelecimentos médicos, hospitais e pacientes que dependem dela, a confirmação de seu pagamento de extorsão aos hackers adiciona um epílogo amargo a uma história já distópica. A paralisia digital da AlphV do Change Healthcare atrapalhou a aprovação de seguros para receitas e procedimentos médicos para centenas de práticas médicas e hospitais em todo o país, tornando-se, por algumas medidas, a interrupção de ransomware médico mais difundida de sempre. Uma pesquisa com membros da American Medical Association realizada entre 26 de março e 3 de abril constatou que quatro em cada cinco clínicos tinham perdido receitas como resultado da crise. Muitos disseram que estavam usando suas próprias finanças pessoais para cobrir as despesas de uma prática. Enquanto isso, a Change Healthcare afirma que perdeu US$872 milhões com o incidente e projeta que esse número subirá bem acima de um bilhão a longo prazo.
A confirmação do pagamento de resgate da Change Healthcare parece agora mostrar que grande parte desse catastrófico impacto para o sistema de saúde dos EUA se desdobrou após já ter pago aos hackers uma quantia exorbitante – um pagamento em troca de uma chave de descriptografia para os sistemas que os hackers haviam criptografado e uma promessa de não vazar os dados roubados da empresa. Como frequentemente ocorre em ataques de ransomware, a interrupção de seus sistemas pela AlphV parece ter sido tão generalizada que o processo de recuperação da Change Healthcare se estendeu muito depois de obter a chave de descriptografia projetada para desbloquear seus sistemas.
No que diz respeito a pagamentos de resgate de ransomware, US$22 milhões não é o valor mais alto que uma vítima já pagou. Mas é perto, diz Brett Callow, um pesquisador de segurança focado em ransomware que falou com a WIRED sobre o pagamento suspeito em março. Apenas alguns poucos pagamentos raros, como os US$40 milhões pagos aos hackers pela CNA Financial em 2021, ultrapassam esse número. “Não é sem precedentes, mas certamente é muito incomum”, disse Callow sobre a cifra de US$22 milhões.
Essa injeção de US$22 milhões de fundos no ecossistema de ransomware alimenta ainda mais um ciclo vicioso que atingiu proporções epidêmicas. A empresa de rastreamento de criptomoedas Chainalysis descobriu que, em 2023, as vítimas de ransomware pagaram aos hackers que as miram um valor total de US$1,1 bilhão, um novo recorde. O pagamento da Change Healthcare pode representar apenas uma pequena parcela desse montante, mas tanto recompensa a AlphV por seus ataques altamente prejudiciais quanto pode sugerir a outros grupos de ransomware que as empresas de saúde são alvos especialmente lucrativos, dado que essas empresas são especialmente sensíveis tanto ao alto custo financeiro desses ciberataques quanto aos riscos que representam para a saúde dos pacientes.
Para complicar ainda mais a situação da Change Healthcare, há uma aparente traição no submundo do ransomware: a AlphV, aparentemente, simulou sua própria intimação pela aplicação da lei após receber o pagamento da Change Healthcare na tentativa de evitar compartilhá-lo com seus assim chamados afiliados, os hackers que se associam ao grupo para penetrar nas vítimas em seu nome. O segundo grupo de ransomware que ameaça a Change Healthcare, RansomHub, agora afirma à WIRED que eles obtiveram os dados roubados desses afiliados, que ainda querem ser pagos por seu trabalho.
Isso criou uma situação em que o pagamento da Change Healthcare oferece pouca garantia de que seus dados comprometidos não serão ainda explorados por hackers descontentes. “Esses afiliados trabalham para vários grupos. Eles estão preocupados em serem pagos, e não há confiança entre ladrões”, disse DiMaggio da Analyst1 à WIRED em março. “Se alguém enganar outra pessoa, você não sabe o que eles vão fazer com os dados.”
Tudo isso significa que a Change Healthcare ainda tem pouca garantia de que evitou um cenário ainda pior do que o que enfrentou até agora: pagar o que pode ser um dos maiores resgates da história e ainda ver seus dados expostos na dark web. “Se isso vazar depois que pagaram US$22 milhões, é praticamente como queimar esse dinheiro”, alertou DiMaggio em março. “Eles teriam queimado esse dinheiro à toa.”
