Selama berbulan-bulan, Change Healthcare telah menghadapi masalah ransomware yang sangat kacau yang membuat ratusan apotek dan praktik medis di seluruh Amerika Serikat tidak dapat memproses klaim. Sekarang, berkat perselisihan yang tampaknya terjadi di dalam ekosistem kriminal ransomware, situasinya mungkin menjadi lebih kacau.
Pada bulan Maret, kelompok ransomware AlphV, yang mengklaim bertanggung jawab atas enkripsi jaringan Change Healthcare dan mengancam akan membocorkan sejumlah data kesehatan sensitif perusahaan itu, menerima pembayaran sebesar $22 juta – bukti, yang tertangkap secara publik di rantai blok Bitcoin, bahwa Change Healthcare kemungkinan besar telah menyerah pada tuntutan tebusan para penyiksa itu, meskipun perusahaan tersebut belum mengonfirmasi bahwa pembayaran itu dilakukan. Namun, dalam definisi baru dari ransomware kasus terburuk, kelompok ransomware yang berbeda mengklaim memiliki data yang dicuri dari Change Healthcare dan menuntut pembayaran dari pihak mereka sendiri.
Sejak Senin, RansomHub, kelompok ransomware relatif baru, telah memposting di situs web gelap mereka bahwa mereka memiliki 4 terabyte data yang dicuri dari Change Healthcare, yang mereka ancam akan dijual kepada “penawar tertinggi” jika Change Healthcare tidak membayar tebusan yang tidak ditentukan. RansomHub mengatakan kepada WIRED bahwa mereka tidak berafiliasi dengan AlphV dan “tidak bisa mengatakan” berapa jumlah tebusan yang mereka minta.
Awalnya, RansomHub menolak untuk mempublikasikan atau memberikan WIRED sampel data dari barang curian itu untuk membuktikan klaim mereka. Namun, pada Jumat, seorang perwakilan kelompok tersebut mengirimkan beberapa tangkapan layar yang tampaknya merupakan catatan pasien dan kontrak berbagi data untuk United Healthcare, yang memiliki Change Healthcare, dan Emdeon, yang mengakuisisi Change Healthcare pada tahun 2014 dan kemudian mengambil nama perusahaan itu.
Meskipun WIRED tidak dapat sepenuhnya mengonfirmasi klaim RansomHub, sampel tersebut menunjukkan bahwa upaya ekstorsi kedua terhadap Change Healthcare ini mungkin lebih dari sekadar ancaman kosong. “Bagi siapa pun yang meragukan bahwa kami memiliki data, dan bagi siapa pun yang berspekulasi tentang kritikalitas dan sensitivitas data, gambar-gambar tersebut seharusnya sudah cukup untuk menunjukkan besarnya dan pentingnya situasi ini dan menghapus teori-teori yang tidak realistis dan kekanak-kanakan,” kata kontak RansomHub kepada WIRED melalui email.
Change Healthcare tidak segera merespons permintaan komentar WIRED terkait tuntutan ekstorsi RansomHub.
Brett Callow, seorang analis ransomware dari perusahaan keamanan Emsisoft, mengatakan bahwa ia percaya AlphV tidak awalnya mempublikasikan data dari insiden itu, dan asal data RansomHub tidak jelas. “Tentu saja saya tidak tahu apakah data itu nyata – bisa jadi data itu diambil dari tempat lain – tetapi saya juga tidak melihat ada yang menunjukkan bahwa data itu mungkin tidak otentik,” ujarnya tentang data yang dibagikan oleh RansomHub.
Jon DiMaggio, chief security strategist di perusahaan intelijen ancaman Analyst1, mengatakan bahwa ia percaya RansomHub “mengatakan kebenaran dan benar-benar memiliki data Change HealthCare” setelah meninjau informasi yang dikirimkan kepada WIRED. Meskipun RansomHub adalah aktor ancaman ransomware baru, DiMaggio mengatakan bahwa mereka dengan cepat “mendapatkan momentum.”
Jika klaim RansomHub benar, itu akan berarti bahwa penderitaan ransomware yang sudah sangat buruk dari Change Healthcare telah menjadi semacam cerita peringatan tentang bahaya percaya pada kelompok-kelompok ransomware untuk memenuhi janji mereka, bahkan setelah tebusan dibayar. Pada bulan Maret, seseorang yang menggunakan nama “notchy” memposting di forum kriminal Siberia bahwa AlphV telah menerima pembayaran $22 juta itu dan menghilang tanpa membagi komisi dengan para peretas “afiliasi” yang biasanya bermitra dengan kelompok ransomware dan seringkali menembus jaringan korban atas nama mereka.