En un reciente desarrollo, los hackers responsables del ataque de ransomware a Change Healthcare han recibido un pago de $22 millones en Bitcoin. Este ataque ha sido uno de los más disruptivos en años, afectando a farmacias en todo Estados Unidos y causando serios problemas en la entrega de medicamentos recetados a nivel nacional. En este artículo, exploraremos los detalles de este pago, la disputa entre los hackers y las implicaciones para la industria de la atención médica.
Los detalles del pago
El 1 de marzo, una dirección de Bitcoin asociada a un grupo de hackers conocido como AlphV recibió una transacción de 350 bitcoins, equivalentes a aproximadamente $22 millones según las tasas de cambio en ese momento. Dos días después, un afiliado de AlphV publicó en un foro subterráneo que los hackers los habían estafado al no compartirles su parte del rescate de Change Healthcare. Como prueba, señalaron la transacción de $22 millones en la cadena de bloques de Bitcoin.
Dmitry Smilyanets, investigador de seguridad de la firma Recorded Future, afirma que esta transacción sugiere que Change Healthcare probablemente haya pagado el rescate. Según él, "puedes ver la cantidad de monedas que llegaron allí. No ves ese tipo de transacciones con tanta frecuencia. Hay pruebas de una gran cantidad que llegó a la billetera de Bitcoin controlada por AlphV. Y este afiliado conecta esta dirección con el ataque a Change Healthcare. Así que es probable que la víctima haya pagado el rescate".
Implicaciones para la industria de la atención médica
Si Change Healthcare realmente pagó un rescate de $22 millones, esto representaría un gran botín para AlphV y sentaría un precedente peligroso para la industria de la atención médica. Cada pago de rescate no solo financia futuros ataques del grupo responsable, sino que también sugiere a otros ciberdelincuentes que deberían seguir el mismo enfoque, atacando servicios de atención médica en los que los pacientes dependen.
Brett Callow, investigador especializado en ransomware de la empresa de seguridad Emsisoft, advierte sobre la rentabilidad de los ataques a la industria de la atención médica. "Si Change pagó, es problemático", dice Callow. "Destaca la rentabilidad de los ataques al sector de la atención médica. Las bandas de ransomware son predecibles: si encuentran un sector particular lucrativo, lo atacarán una y otra vez".
Disputa entre los hackers
La disputa entre los hackers detrás del ataque de ransomware a Change Healthcare y su afiliado revela la falta de honor entre ellos. El afiliado, que se hace llamar "notchy", acusa a AlphV de haber recogido todo el rescate de $22 millones pagado por Change Healthcare y de no compartir las ganancias con ellos, como habían acordado. "Ten cuidado, todos, y deja de tratar con ALPHV", escribió notchy.
La situación se complica aún más cuando notchy afirma tener 4TB de datos críticos de Optum, la empresa operadora de la plataforma de Change Healthcare. Estos datos afectarían a todos los clientes de Change Healthcare y Optum e incluyen información de "decenas de compañías de seguros" y otros proveedores de servicios, desde atención médica hasta administración de efectivo y farmacias.
Posible rebranding o exit scam
A raíz de esta disputa y el pago del rescate, los servidores de ALPHV/BlackCat han sido cerrados. Esto ha llevado a especulaciones sobre si están planeando un rebranding o si se trata de un exit scam, donde los operadores de ransomware roban la criptomoneda de sus afiliados y luego cierran sus operaciones. No está claro cuál será el siguiente movimiento de los hackers.
El reciente pago de $22 millones a los hackers detrás del ataque de ransomware a Change Healthcare plantea serias preocupaciones sobre la seguridad de la industria de la atención médica y la rentabilidad de los ataques de ransomware. Además, la disputa entre los hackers y su afiliado revela la falta de confianza y honor entre los delincuentes cibernéticos. Es crucial que las empresas y los proveedores de atención médica implementen medidas sólidas de seguridad cibernética para protegerse contra futuros ataques.