Serangan ransomware yang menargetkan perusahaan medis Change Healthcare telah menjadi salah satu yang paling mengganggu dalam beberapa tahun terakhir, melumpuhkan apotek di seluruh AS—termasuk yang berada di rumah sakit—dan menyebabkan kendala serius dalam pengiriman obat resep di seluruh negeri selama 10 hari dan terus berlanjut. Sekarang, perselisihan di dalam dunia kriminal telah mengungkap perkembangan baru dalam bencana yang sedang berlangsung itu: Salah satu mitra dari para peretas di balik serangan tersebut menunjukkan bahwa para peretas, sebuah grup yang dikenal sebagai AlphV atau BlackCat, menerima transaksi sebesar $22 juta yang sangat mirip dengan pembayaran tebusan besar.
Pada 1 Maret, sebuah alamat Bitcoin yang terhubung dengan AlphV menerima 350 bitcoin dalam satu transaksi, atau sekitar $22 juta berdasarkan nilai tukar saat itu. Kemudian, dua hari kemudian, seseorang yang menggambarkan diri mereka sebagai mitra AlphV—salah satu peretas yang bekerja dengan grup tersebut untuk menembus jaringan korban—mengirimkan posting ke forum bawah tanah kriminal RAMP bahwa AlphV telah menipu mereka dari bagian mereka dalam tebusan Change Healthcare, menunjukkan transaksi $22 juta yang terlihat secara publik di rantai blok Bitcoin sebagai bukti.
Itu menunjukkan, menurut Dmitry Smilyanets, peneliti untuk perusahaan keamanan Recorded Future yang pertama kali melihat posting tersebut, bahwa Change Healthcare kemungkinan telah membayar tebusan AlphV. “Anda bisa melihat jumlah koin yang mendarat di sana. Anda tidak sering melihat transaksi semacam itu,” kata Smilyanets. “Ada bukti bahwa jumlah besar mendarat di dompet Bitcoin yang dikendalikan oleh AlphV. Dan mitra ini menghubungkan alamat ini dengan serangan terhadap Change Healthcare. Jadi kemungkinan besar korban telah membayar tebusan.”
Jurubicara Change Healthcare, yang dimiliki oleh UnitedHealth Group, menolak untuk menjawab apakah telah membayar tebusan kepada AlphV, hanya memberitahu WIRED bahwa “kami sedang fokus pada penyelidikan saat ini.”
Baik Recorded Future maupun TRM Labs, sebuah perusahaan analisis blockchain, menghubungkan alamat Bitcoin yang menerima pembayaran $22 juta ke para peretas AlphV. TRM Labs mengatakan dapat mengaitkan alamat tersebut dengan pembayaran dari dua korban AlphV lainnya pada bulan Januari.
Jika Change Healthcare benar-benar membayar tebusan sebesar $22 juta, itu tidak hanya akan menjadi pembayaran besar bagi AlphV, tetapi juga preseden berbahaya bagi industri kesehatan, berpendapat Brett Callow, seorang peneliti yang berfokus pada ransomware dengan perusahaan keamanan Emsisoft. Setiap pembayaran tebusan, katanya, tidak hanya mendanai serangan di masa depan oleh kelompok yang bertanggung jawab, tetapi juga menyarankan kepada predator ransomware lainnya bahwa mereka seharusnya mencoba metode yang sama—dalam hal ini, menyerang layanan kesehatan yang dibutuhkan pasien.
“Jika Change benar-benar membayar, itu mengkhawatirkan,” kata Callow. “Ini menyoroti profitabilitas serangan terhadap sektor kesehatan. Kelompok ransomware tidak ada apa-apanya jika bukan prediktif: Jika mereka menemukan sektor tertentu menguntungkan, mereka akan menyerangnya berulang kali, bilas dan ulangi.”
Mitradiri yang menggambarkan diri mereka sebagai AlphV dan yang pertama kali memposting bukti pembayaran di RAMP, dan yang menggunakan nama “notchy,” mengeluh bahwa AlphV tampaknya telah mengumpulkan tebusan $22 juta dari Change Healthcare dan kemudian menyimpan seluruh jumlah tersebut, daripada membagi keuntungan dengan mitra peretasan mereka seperti yang telah disepakati. “Berhati-hatilah semua dan hentikan kerjasama dengan ALPHV,” tulis notchy.