Untuk Change Healthcare dan praktik medis, rumah sakit, dan pasien yang terbelit yang bergantung padanya, konfirmasi pembayaran ekstorsi kepada para peretas menambahkan epilog pahit pada sebuah cerita yang sudah dystopian. Paralisis digital AlphV terhadap Change Healthcare, sebuah anak perusahaan UnitedHealth Group, merintangi persetujuan asuransi untuk resep dan prosedur medis untuk ratusan praktik medis dan rumah sakit di seluruh negara, menjadikannya menurut beberapa ukuran gangguan ransomware medis yang paling luas yang pernah ada. Survei anggota American Medical Association, yang dilakukan antara 26 Maret dan 3 April, menemukan bahwa empat dari lima klinisi telah kehilangan pendapatan sebagai akibat dari krisis tersebut. Banyak yang mengatakan bahwa mereka menggunakan keuangan pribadi mereka untuk menutupi biaya praktik. Sementara itu, Change Healthcare mengatakan bahwa perusahaan tersebut telah kehilangan $872 juta akibat insiden tersebut dan memproyeksikan angka tersebut akan meningkat jauh melebihi satu miliar dalam jangka panjang.
Konfirmasi Change Healthcare atas pembayaran tebusan sekarang tampaknya menunjukkan bahwa sebagian besar dampak bencana itu bagi sistem kesehatan AS terjadi setelah perusahaan tersebut sudah membayar jumlah yang sangat besar kepada para peretas – pembayaran sebagai pertukaran untuk kunci dekripsi untuk sistem yang dienkripsi oleh para peretas dan janji untuk tidak membocorkan data yang dicuri perusahaan. Seperti yang sering terjadi dalam serangan ransomware, gangguan AlphV terhadap sistemnya tampaknya begitu luas sehingga proses pemulihan Change Healthcare berlanjut jauh setelah perusahaan tersebut mendapatkan kunci dekripsi yang dirancang untuk membuka kunci sistemnya.
Sebagai pembayaran ransomware, $22 juta bukanlah jumlah terbesar yang pernah dibayarkan oleh korban. Namun, jumlah tersebut cukup besar, kata Brett Callow, seorang peneliti keamanan yang fokus pada ransomware yang berbicara dengan WIRED tentang pembayaran yang diduga pada bulan Maret. Hanya beberapa pembayaran langka, seperti $40 juta yang dibayarkan kepada para peretas oleh CNA Financial pada tahun 2021, yang melebihi angka tersebut. “Ini bukan tanpa preseden, tetapi tentu sangat tidak biasa,” kata Callow tentang angka $22 juta.
Injeksi dana sebesar $22 juta ke dalam ekosistem ransomware lebih lanjut memperkuat siklus yang telah mencapai proporsi epidemi. Perusahaan pelacakan cryptocurrency Chainalysis menemukan bahwa pada tahun 2023, korban ransomware membayar para peretas yang menargetkan mereka sebesar $1,1 miliar, rekor baru. Pembayaran Change Healthcare mungkin hanya merupakan tetesan kecil dalam sebuah ember. Namun, itu tidak hanya memberikan hadiah kepada AlphV untuk serangan yang sangat merusaknya, tetapi juga mungkin menunjukkan kepada kelompok ransomware lain bahwa perusahaan kesehatan adalah target yang sangat menguntungkan, mengingat perusahaan-perusahaan tersebut sangat sensitif terhadap biaya tinggi dari serangan siber tersebut secara finansial dan risiko yang mereka timbulkan bagi kesehatan pasien.
Menggabungkan kekacauan Change Healthcare adalah pengkhianatan ganda yang tampaknya terjadi dalam dunia bawah tanah ransomware: AlphV dengan segala tanda-tanda berpura-pura melakukan pemblokiran penegakan hukum sendiri setelah menerima pembayaran dari Change Healthcare dalam upaya untuk menghindari berbagi dengan afiliasinya yang disebut para peretas yang bermitra dengan grup tersebut untuk menembus korban atas nama mereka. Grup ransomware kedua yang mengancam Change Healthcare, RansomHub, sekarang mengklaim kepada WIRED bahwa mereka memperoleh data yang dicuri dari para afiliasi tersebut, yang masih ingin dibayar atas pekerjaan mereka.
Hal ini menciptakan situasi di mana pembayaran Change Healthcare memberikan sedikit jaminan bahwa data yang dikompromikan tidak akan tetap dieksploitasi oleh para peretas yang tidak puas. “Para afiliasi ini bekerja untuk beberapa kelompok. Mereka khawatir dengan mendapatkan pembayaran untuk diri mereka sendiri, dan tidak ada kepercayaan di antara pencuri,” kata DiMaggio dari Analyst1 kepada WIRED pada bulan Maret. “Jika seseorang menipu seseorang, Anda tidak tahu apa yang akan dilakukan dengan data tersebut.”
Semua itu berarti Change Healthcare masih memiliki sedikit jaminan bahwa perusahaan tersebut telah menghindari skenario yang lebih buruk daripada yang pernah dihadapinya: membayar apa yang mungkin menjadi salah satu tebusan terbesar dalam sejarah dan masih melihat data perusahaan tersebut tersiar di dark web. “Jika itu bocor setelah mereka membayar $22 juta, itu sama saja seperti membakar uang tersebut,” peringatan DiMaggio pada bulan Maret. “Mereka sudah membakar uang itu dengan percuma.”