لعدة أشهر، واجهت شركة Change Healthcare كارثة شديدة الفوضى استمرت لعدة أشهر بسبب برامج الفدية، مما جعل مئات الصيدليات والممارسات الطبية في جميع أنحاء الولايات المتحدة غير قادرة على معالجة المطالبات. الآن، وبفضل النزاع الواضح داخل النظام البيئي الإجرامي لبرامج الفدية، ربما أصبح الأمر أكثر فوضوية.
في الشهر الماضي، تلقت مجموعة برامج الفدية AlphV، التي ادعت الفضل في تشفير شبكة Change Healthcare وهددت بتسريب مجموعات من بيانات الرعاية الصحية الحساسة للشركة، دفعة بقيمة 22 مليون دولار – وهي أدلة، تم التقاطها علنًا على Bitcoin. من المحتمل جدًا أن تكون شركة Change Healthcare قد استسلمت لطلب الفدية التي طلبها معذبوها، على الرغم من أن الشركة لم تؤكد بعد أنها دفعت. ولكن في تعريف جديد لأسوأ حالات برامج الفدية، أ مختلف تدعي مجموعة برامج الفدية أنها تحتفظ ببيانات Change Healthcare المسروقة وتطالب بدفع مبلغ خاص بها.
منذ يوم الاثنين، نشرت RansomHub، وهي مجموعة جديدة نسبيًا من برامج الفدية، على موقع الويب المظلم الخاص بها أن لديها 4 تيرابايت من البيانات المسروقة لشركة Change Healthcare، والتي هددت ببيعها إلى “أعلى مزايد” إذا لم تفعل Change Healthcare. ™ لا تدفع فدية غير محددة. أخبرت RansomHub WIRED أنها ليست تابعة لـ AlphV و”لا يمكنها تحديد” المبلغ الذي تطلبه كدفعة فدية.
رفضت RansomHub في البداية نشر أو تقديم أي نموذج بيانات من تلك الكنوز المسروقة لإثبات ادعائها. لكن يوم الجمعة، أرسل ممثل عن المجموعة إلى WIRED عدة لقطات شاشة لما بدا أنها سجلات مرضى وعقد لمشاركة البيانات لشركة United Healthcare، التي تمتلك Change Healthcare، وEmdeon، التي استحوذت على Change Healthcare في عام 2014 وأخذت اسمها لاحقًا.
في حين أن WIRED لم تتمكن من تأكيد ادعاءات RansomHub بشكل كامل، تشير العينات إلى أن محاولة الابتزاز الثانية هذه ضد Change Healthcare قد تكون أكثر من مجرد تهديد فارغ. “لأي شخص يشكك في أن لدينا البيانات، وأي شخص يتكهن بمدى أهمية البيانات وحساسيتها، يجب أن تكون الصور كافية لإظهار حجم وأهمية الوضع وتوضيح النظريات غير الواقعية والطفولية،” RansomHub تخبر جهة الاتصال WIRED في رسالة بريد إلكتروني.
لم تستجب شركة Change Healthcare على الفور لطلب WIRED للتعليق على طلب RansomHub للابتزاز.
يقول بريت كالو، محلل برامج الفدية في شركة الأمن Emsisoft، إنه يعتقد أن AlphV لم تنشر في الأصل أي بيانات من الحادث، وأن أصل بيانات RansomHub غير واضح. يقول عن البيانات التي شاركتها RansomHub: “من الواضح أنني لا أعرف ما إذا كانت البيانات حقيقية أم لا، فمن الممكن أن يتم سحبها من مكان آخر، لكنني لا أرى أي شيء يشير إلى أنها قد لا تكون حقيقية”.
يقول جون ديماجيو، كبير الاستراتيجيين الأمنيين في شركة Analyst1 لاستخبارات التهديدات، إنه يعتقد أن RansomHub “تقول الحقيقة ولديها بيانات Change HealthCare”، بعد مراجعة المعلومات المرسلة إلى WIRED. في حين أن RansomHub هو جهة فاعلة جديدة في مجال تهديد برامج الفدية، إلا أن ديماجيو يقول إنها تكتسب زخمًا سريعًا.
إذا كانت ادعاءات RansomHub حقيقية، فهذا يعني أن محنة برامج الفدية الكارثية التي تواجهها شركة Change Healthcare أصبحت بمثابة حكاية تحذيرية حول مخاطر الثقة في مجموعات برامج الفدية للوفاء بوعودها، حتى بعد دفع الفدية. في شهر مارس، نشر شخص يحمل اسم “notchy” في منتدى الجريمة الإلكترونية الروسي أن شركة AlphV قد استولت على مبلغ 22 مليون دولار واختفت دون مشاركة العمولة مع المتسللين “التابعين” الذين عادةً ما يتعاونون مع مجموعات برامج الفدية وغالبًا ما يخترقون الضحايا. الشبكات نيابة عنهم.
