Dopo un attacco che ha paralizzato parti del sistema sanitario statunitense, il gruppo di cybercriminali ALPHV accelera il riciclaggio dei proventi della presunta estorsione.
Six settimane dopo aver eseguito un attacco che ha mandato in tilt parti del sistema sanitario degli Stati Uniti, la gang di cybercriminali collegata all’incidente ha intensificato i suoi tentativi di riciclare i proventi di una presunta estorsione. Questo, mentre gli hacker implicati nel attacco continuano a mantenere un profilo basso. Il gruppo di ransomware ALPHV ha rivendicato la responsabilità per l’attacco del 21 febbraio a Change Healthcare, un processore di pagamenti che interagisce con 1 su 3 casi medici negli Stati Uniti. L’operazione ha limitato la capacità di farmacie e fornitori di servizi sanitari di ricevere pagamenti, mettendo sotto pressione il sistema sanitario statunitense.
All’inizio di questo mese, i ricercatori di cybercrime hanno riferito che un portafoglio di bitcoin collegato ai precedenti riscatti di ALPHV aveva ricevuto 22 milioni di dollari, alimentando le speculazioni che la casa madre di Change, UnitedHealth Group, avesse pagato il riscatto. Ora, sembra che ALPHV stia cercando di oscurare ulteriormente la destinazione di questi fondi. Secondo TRM Labs, azienda specializzata in intelligence di blockchain, di recente i fondi sono stati trasferiti da portafogli di bitcoin collegati ad altri riscatti pagati ad ALPHV a numerosi altri indirizzi e attraverso un mixer, uno strumento utilizzato per offuscare le transazioni che possono essere tracciate su un registro pubblico.
“Nell’ultima settimana o giù di lì, abbiamo visto un aumento dell’attività di riciclaggio”, ha dichiarato via e-mail a CyberScoop Ari Redbord, responsabile globale delle politiche di TRM Labs. Ad esempio, ha osservato che il 27 marzo, ben 50 bitcoin – corrispondenti a circa 3,5 milioni di dollari- sono stati trasferiti dai portafogli associati al gruppo ad un servizio di mixing. Inoltre, dal 22 al 27 marzo, abbiamo riscontrato numerosi prelievi da portafogli associati al gruppo di ransomware che sono stati inviati ad un global exchange.
L’FBI ha rifiutato di commentare sullo status della sua indagine sull’incidente. In mezzo alle manovre di ALPHV per nascondere i fondi che avrebbe estorto a UnitedHealth Group, l’incidente rimane avvolto da domande senza risposta, in particolare per quanto riguarda l’affiliato di ransomware che ha portato avanti l’attacco a Change.
I gruppi di ransomware come ALPHV operano su un modello di affiliazione. Gli affiliati effettuano attacchi di ransomware utilizzando gli strumenti di ALPHV in cambio di una divisione dei proventi eventualmente ottenuti dai pagamenti di riscatto. Nel caso dell’incidente riguardante Change, un affiliato noto come “notchy” ha rivendicato la responsabilità dell’attacco, per poi ritrovarsi tagliato fuori quando è stato pagato il riscatto.
Nelle ultime settimane, notchy è andato in silenzio dopo aver accusato ALPHV di averlo tradito. Secondo notchy, ALPHV non gli ha mai dato la sua parte del pagamento di 22 milioni di dollari da parte di UnitedHealth. Invece, ALPHV ha chiuso il loro sito e ha erroneamente affermato di essere stato vittima di un’operazione di polizia.
Dopo la violazione di Change, notchy affermava di aver ottenuto quattro terabyte di dati relativi ai principali partner dell’azienda, tra cui CVS Caremark, tra gli altri. Un portavoce di CVS Caremark ha detto a CyberScoop di essere a conoscenza della “dichiarazione non suffragata” che è stata pubblicata in connessione con l’attacco, ma “al momento Change Healthcare non ha confermato se le informazioni dei membri o dei pazienti che detiene, incluse le informazioni di CVS Health o CVS Caremark, sono state colpite da questo incidente”.
Non è chiaro se notchy sia effettivamente in possesso di tali dati ma, dopo essere stato escluso da ALPHV dalla sua quota di un lucroso riscatto, i dati rappresenterebbero un grosso vantaggio.
Un portavoce di UnitedHealth Group non ha risposto alle domande di CyberScoop sulla comprensione dell’azienda di eventuali dati pendenti. UnitedHealth Group sta “ancora determinando il contenuto dei dati che sono stati presi dall’attore della minaccia”, tra cui le informazioni sanitarie protette o le informazioni personali identificabili, come ha affermato l’azienda in un aggiornamento pubblicato sul suo sito il 27 marzo. Il portavoce ha detto mercoledì che quel post è l'”informazione più aggiornata” che l’azienda ha da condividere.
I ricercatori di cybercrime affermano di non aver ancora visto i dati messi in vendita, ma immediatamente dopo l’attacco, notchy ha pubblicato un messaggio cercando di lavorare con persone per continuare a portare avanti attacchi, solo per chiudere rapidamente il thread.
“Penso che sia più una situazione di tipo stare basso per il momento”, ha detto Garrett Carstens, vicepresidente delle operazioni di intelligence di Intel471. Se notchy, o qualsiasi altro attore della minaccia per quella materia, è infatti in possesso dei dati che afferma, Carstens ha detto, la preoccupazione principale è che potrebbero essere estratte informazioni utili per attaccare altre reti. Notchy è un attore della minaccia efficace, ha aggiunto, con l’analisi di Intel471 che suggerisce che il gruppo avesse la capacità di compromettere nuove reti ad un ritmo di circa “una dozzina alla settimana” attorno al tempo dell’attacco a Change Healthcare.
Si conosce relativamente poco su notchy, ma l’alias potrebbe essere gestito da più di una persona, in quanto usa pronomi plurali quando si riferisce a se stesso. Il nome utente è stato registrato per la prima volta sul forum in lingua russa RAMP nel dicembre 2021, ma ha iniziato a pubblicare per la prima volta nell’agosto 2022 e ha pubblicato solo 11 volte in totale, secondo la società di cybersecurity KELA.
Notchy è possibilmente collegato ad almeno altri due alias su un altro forum di cybercriminali, Exploit. Questi due alias possono essere collegati, a loro volta, ad almeno un alias su Telegram che è stato attivo in canali in inglese e in russo legati ad attività di frode con carte di credito e malware che rubano informazioni, secondo KELA.
In base alle chatlogs di Telegram fornite da Unit 221B, una società di sicurezza informatica, un alias di Telegram cancellato e che potrebbe essere collegato a notchy, ha pubblicato nel maggio 2022 in un mercato per le credenziali di login rubate, chiedendo la disponibilità di credenziali di rete privata virtuale “solo USA” relative alle applicazioni di desktop remoto – un probabile indicatore delle tecniche e dei tipi di obiettivi di interesse per l’alias notchy. Le credenziali sono spesso ottenute con malware che rubano informazioni, che raccolgono dati personali dai metadati del browser di un obiettivo. Ad esempio, tra il 1° luglio 2021 e il 30 giugno 2022, i ricercatori di Group-IB hanno scoperto che 96 milioni di log erano stati messi in vendita su vari forum, l’80% dei quali proveniva da utenti statunitensi.
Normalmente, notchy pubblica in inglese, ha detto Carstens, ma probabilmente capisce il russo. Sembra inoltre che notchy preferisca condurre affari principalmente secondo l’ora standard di Mosca, ma Carstens ha avvertito di non attribuire molta importanza a tale fatto.
Per corroborare le sue affermazioni di essere stato defraudato da ALPHV, notchy ha pubblicato screenshot delle sue conversazioni con gli admin di ALPHV sulla piattaforma di messaggistica Tox, così come un link al portafoglio di criptovaluta che ha ricevuto il presunto pagamento del riscatto da United HealthGroup. Quello screenshot è stata la prima esposizione al mondo esterno del portafoglio che ha ricevuto una transazione di 350 bitcoin il 1° marzo che si ritiene sia il pagamento del riscatto di United.
ALPHV ha risposto su RAMP dicendo che aveva deciso di “chiudere completamente il progetto” e che “possiamo dichiarare ufficialmente che i federali ci hanno fregato”. Parte dell’infrastruttura di ALPHV era stata sequestrata dall’FBI e da altre agenzie a dicembre 2023, ma il gruppo ne ha recuperata una parte e ha rifatto il sito con un nuovo indirizzo.
Gli amministratori di RAMP hanno bannato ALPHV dal forum il 6 marzo dopo aver concluso che ALPHV aveva truffato l’affiliato, secondo KELA.
Alla fine, notchy non è completamente unico, ha detto Carstens, descrivendolo come “uno dei molti attori della minaccia piuttosto capaci che esistono là fuori e che giocano in questo mondo di ransomware”.