Dopo un attacco ransomware, il gruppo cybercriminale Alphv minaccia di vendere alla migliore offerta terabyte di informazioni rubate da Change Healthcare.
L’incolumità dei dati digitali è al centro di una recente questione che interessa Change Healthcare, una società di elaborazione dei pagamenti medici. Circa un mese fa, Change Healthcare è stata vittima di un attacco ransomware, durante il quale il gruppo Alphv ha preso il possesso di circa 6 terabyte di dati. Ora, l’estorsione di questi dati è al centro di un’aspra controversia.
Sul RansomHub, un sito web del dark web conosciuto per le sue attività di asta dei dati rubati e per la pianificazione di nuovi attacchi ransomware, è stato pubblicato un avviso da parte dei gestori. Secondo il messaggio, i gestori sostengono di essere in possesso di 4 terabyte di dati riservati, provenienti dal recente attacco informatico su Change Healthcare. Il gruppo è stato accusato di essere il responsabile dell’attacco, condotto apparentemente da un affiliato noto come “notchy”, ed entrambe le parti avevano apparentemente convenuto di dividere equamente le cifre ricavate dal riscatto.
Dopo il presunto pagamento di un riscatto da parte della casa madre di Change Healthcare, una somma che si avvicina ai 22 milioni di dollari, notchy lamenta di essere stato defraudato dalla sua quota dal gruppo Alphv. Le attività di riciclaggio del denaro attraverso varie transazioni nel mese passato sono state identificate da alcuni ricercatori della società TRM Labs, specializzata nella inteligenza blockchain. Parallelamente, i 4 terabyte di dati di cui notchy sostiene di possedere rimangono intatti, una potenziale minaccia per le future operazioni di estorsione.
Il messaggio postato su RansomHub è un chiaro avviso a Change Healthcare e alla sua società madre, UnitedHealth Group. La minaccia è diretta e avverte entrambe le parti dell’imminente vendita al miglior offerente, a meno che Change Healthcare non acquisti la maggioranza dei dati rubati entro il 20 Aprile. Nonostante richieste di ulteriori dettagli, un rappresentante di UnitedHealth Group non ha risposto alla minaccia.
Di fronte alle richieste di prova dell’effettivo possesso dei dati di Change Healthcare, un portavoce di RansomHub ha risposto semplicemente suggerendo di “prestare attenzione” al loro blog, senza fornire ulteriori dettagli sulla presenza o meno di contatti con UnitedHealth Group.
Emerge una discrepanza tra i dati rivendicati da Alphv e da notchy, rispettivamente di 6 e 4 terabyte. Non è ancora chiaro l’origine del divario tra queste due cifre. Attualmente la piattaforma RansomHub, lanciata all’inizio di Febbraio da un utente di nome “koley”, si presenta come la “nuova generazione di ransomware”, promettendo un fisso del 10% del riscatto ai suoi affiliati. La piattaforma conta 31 vittime e riserva una serie di regole a coloro che intendono utilizzarla, tra cui l’assoluto divieto di attaccare Paesi allineati con la Russia e organizzazioni non profit, e l’obbligo di rispettare gli accordi presi con le vittime.
Alla luce delle complicazioni nei rapporti con Alphv, e in risposta ad un messaggio inviato da RansomHub all’archivio online di malware VX-Underground, la società dichiara di aver accolto numerosi ex affiliati del gruppo Alphv.