+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Hackers por trás do ataque de ransomware à Change Healthcare acabaram de receber um pagamento de cerca de R$ 110 milhões

Conformidade, Proteção e Privacidade de Dados

A transação, visível na blockchain do Bitcoin, sugere que a vítima de um dos piores ataques de ransomware dos últimos anos pode ter pago um resgate muito alto.

O ataque de ransomware direcionado à empresa médica Change Healthcare tem sido um dos mais disruptivos dos últimos anos, prejudicando farmácias em todos os Estados Unidos, incluindo as de hospitais, e causando sérios problemas na entrega de medicamentos prescritos ao nível nacional por 10 dias consecutivos. Agora, uma disputa dentro do submundo criminoso revelou um novo desenvolvimento nesse desdobramento desastroso: um dos parceiros dos cibercriminosos por trás do ataque aponta que esses hackers, um grupo conhecido como AlphV ou BlackCat, receberam um montante de 22 milhões de dólares, cerca de 110 milhões de reais, que se assemelha muito a um grande pagamento de resgate.

Em 1º de março, um endereço de Bitcoin vinculado ao AlphV recebeu 350 bitcoins em uma única transação, equivalente a cerca de US$ 22 milhões, com base nas taxas de câmbio da época. Dois dias depois, alguém se descrevendo como um afiliado do AlphV – um dos hackers que trabalham com o grupo para penetrar nas redes das vítimas – postou no fórum underground de cibercriminosos RAMP que o AlphV os havia enganado em relação à sua parcela do valor pago no resgate da Change Healthcare, apontando para a transação de US$ 22 milhões, publicamente visível na blockchain do Bitcoin como prova.

Isso sugere, de acordo com Dmitry Smilyanets, o pesquisador da empresa de segurança Recorded Future que primeiro identificou a postagem, que a Change Healthcare pagou provavelmente o resgate ao AlphV.

“Você pode ver o número de moedas depositadas lá. Você não vê esse tipo de transação com tanta frequência. Há evidências de uma grande quantia chegando na carteira de Bitcoin controlada pelo AlphV. E esse afiliado conecta esse endereço ao ataque à Change Healthcare. Então, é provável que a vítima tenha pago o resgate.”

– Dmitry Smilyanets, o pesquisador da Recorded Future

Um porta-voz da Change Healthcare, que é de propriedade do UnitedHealth Group, recusou-se a responder se pagou um resgate ao AlphV, dizendo apenas que “estamos focados na investigação neste momento”.

Tanto a Recorded Future quanto a TRM Labs, uma empresa de análise de blockchain, conectam o endereço de Bitcoin que recebeu o pagamento de US$ 22 milhões aos hackers do AlphV. A TRM Labs afirma que pode vincular o endereço a pagamentos de outros dois ataques do AlphV em janeiro.

Se a Change Healthcare realmente pagou um resgate de U$ 22 milhões, isso não apenas representa um grande ganho para o AlphV, mas também estabelece um perigoso precedente para a Indústria da Saúde (Health Care), argumenta Brett Callow, um pesquisador especializado em ransomware da empresa de segurança Emsisoft. Ele afirma que cada pagamento de resgate financia futuros ataques pelo grupo responsável e sugere a outros cibercriminosos que utilizam ransomwares de que devem seguir o mesmo roteiro – neste caso, atacar serviços de saúde os quais os pacientes dependem.

“Se a Change realmente pagou, é problemático. Isso destaca a lucratividade dos ataques ao setor da saúde. As gangues de ransomwares são previsíveis: se encontram um setor específico lucrativo, atacarão repetidamente, repetidamente e repetidamente.”

Brett Callow, pesquisador da Emsisoft

O afiliado autodenominado do AlphV, que primeiro divulgou evidências do pagamento no fórum RAMP e usa o nome “notchy”, reclamou que o AlphV coletou aparentemente o resgate de US$ 22 milhões da Change Healthcare e depois ficou com a quantia inteira, ao invés de compartilhar os lucros com seus comparsas de hacking, como supostamente haviam acordado.

“Tenham cuidado, todos, e parem de negociar com a ALPHV”

Notchy, cibercriminoso comparsa da AlphV

Notchy também afirmou que, ao penetrar na rede da Change Healthcare, acessou os dados de numerosas outras empresas de saúde parceiras da companhia. Se essa alegação for precisa, Dmitry Smilyanets, da Recorded Future, destaca que isso cria um risco adicional de que o hacker afiliado ainda possua informações médicas sensíveis. Mesmo que a Change Healthcare tenha pago o AlphV, o cibercriminoso ainda pode exigir um pagamento adicional ou vazar os dados de forma independente.

“Os afiliados ainda têm esses dados e estão chateados por não receberem esse dinheiro. É uma boa lição para todos. Não se pode confiar em criminosos; a palavra deles não vale nada.”

                  – Dmitry Smilyanets, o pesquisador da Recorded Future

Em termos de pagamentos de ransomware, US$ 22 milhões representariam um ganho notavelmente lucrativo para o AlphV. Apenas um número relativamente pequeno de resgates na história do ransomware, como o pagamento de $40 milhões feito pela empresa financeira CNA aos hackers conhecidos como Evil Corp, foi tão grande, afirma Brett Callow, da Emsisoft. “Não é inédito, mas certamente é muito incomum”, diz ele.

Independentemente de a Change Healthcare ter ou não confirmado o pagamento do resgate, o ataque mostra que o AlphV conseguiu uma perturbadora reviravolta: em dezembro, foi alvo de uma operação do FBI que confiscou seus sites na dark web e divulgou chaves de descriptografia que frustraram seus ataques em centenas de vítimas. Apenas dois meses depois, realizou o ciberataque que paralisou a Change Healthcare, desencadeando uma interrupção cujos efeitos em farmácias e seus pacientes já se estendem por mais de uma semana. Até a última terça-feira, o AlphV listava 28 empresas no site da dark web que são vítimas de suas extorções, sem incluir a Change Healthcare.

O website foi retirado do ar. A razão para esse desaparecimento – seja devido a outra operação policial ou aos esforços do AlphV para evitar seus próprios afiliados enganados – não está clara. Rastreadores de ransomware afirmam que o AlphV desapareceu e se reinventou várias outras vezes. E já atuaram sob as denominações de BlackCat, BlackMatter e Darkside.

Cumpre lembrar que os cibercriminosos que atuavam sob o nome Darkside foram responsáveis pelo ataque de ransomware ao Colonial Pipeline em 2021, que desencadeou o desligamento do transporte de gás ao longo da Costa Leste dos EUA e resultou em uma breve escassez de combustível em algumas cidades desta localidade. Nesse caso também, as vítimas pagaram o resgate aos hackers.

“Foi a decisão mais difícil que já tomei”

Joseph Blount, CEO da Colonial, em uma audiência no Congresso dos EUA

Agora, ao que tudo indica, alguns dos mesmos hackers podem ter forçado mais uma empresa a tomar essa mesma difícil decisão.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Open chat
Olá 👋
Como podemos te ajudar?