勒索组织 RansomHub 周二宣布,据称在 2 月份勒索软件攻击中窃取的 Change Healthcare 数据正在出售。
Dark Web Informer和Emsisoft 威胁分析师 Brett Callow周二下午发布的RansomHub 泄露网站的屏幕截图显示,该组织列出了待售数据,声称拥有“数十家”保险公司的信息以及患者的个人信息,并更改医疗保健源代码“还有很多。”
据 BleepingComputer 报道,这一消息发布的一天前,该组织开始泄露一些所谓的 Change Healthcare 数据,其中包括似乎显示与保险公司的数据共享协议和患者护理账单的屏幕截图。
“RansomHub 发布的信息非常有说服力,其中包括法律文件(交易者合作伙伴协议)、提供商服务账单、医疗保险索赔信息(包括敏感 PII)、付款信息等的屏幕截图,”副总裁 Sean McNee DomainTools 的研究和数据,告诉 SC Media。 “泄露的数据种类繁多,表明数据转储并不局限于一个或几个系统。事实上,如果这些数据和更多数据完全泄露,对受影响的个人来说可能是毁灭性的。”
联合健康集团子公司 Optum 旗下的 Change Healthcare 于 2 月 21 日遭受网络攻击,导致美国各地医院和药店大范围运营中断。
ALPHV/BlackCat 勒索软件组织声称对此次攻击负责,该组织随后关闭了其泄露网站,并窃取了据称由 Optum 支付的 2200 万美元赎金,这显然是针对其附属公司的退出骗局,这可能是出于执法压力。
根据 RansomHub 管理员与恶意软件资源共享组管理员之间交换的消息,负责 Change Healthcare 攻击的附属机构(称为“Notchy”)据信是在被 ALPHV/BlackCat 空手而归后被RansomHub 招募的vx-underground 上周。
RansomHub 上周一首次声称拥有 4TB 被盗的 Change Healthcare 数据,给该公司大约 12 天的最后期限来协商赎金,然后再将这些信息出售给最高出价者。
“这并不奇怪。我们之前在博客文章中概述了这种情况。诺奇被骗的经历让数据的安全性悬而未决,直到他的要求得到满足。出乎意料的是公众对威胁行为者的同情反应,这一观点令我感到震惊。”Menlo Security 网络安全专家 Ngoc Bui 告诉 SC Media。
截至周一,RansomHub 表示 Optum 有五天的时间来谈判一项协议,以防止出售数据,这使得周二的声明令人意外。
“我们正在与执法部门和外部专家合作,调查网上发布的声明,以了解潜在受影响数据的程度。我们的调查仍在积极进行中。没有证据表明 Change Healthcare 发生过任何新的网络事件。”Optum 在周二下午向 SC Media 提供的一份声明中表示。
改变医疗保健勒索软件的影响仍在继续
在周二向 SEC 提交的文件中,联合健康集团 (UnitedHealth Group) 报告称,上季度 Change Healthcare 攻击给该公司造成了 8.72 亿美元的损失,预计到今年年底,此次攻击造成的总成本将超过 10 亿美元。
该公司尚未确认是否已向 ALPHV/BlackCat 支付了所报道的 2200 万美元赎金,但区块链交易记录似乎支持已支付赎金。 Optum 在回应 SC Media 询问时拒绝透露是否支付了赎金。
“一些组织在错误的假设下运作,即如果他们向特定组织支付赎金,他们现在就可以免受更多攻击。其他组织从出现在头条新闻的那一刻起就对目标更具吸引力。这就是为什么组织在短时间内再次遭受先前攻击的严重打击是相当常见的,”Semperis 安全研究总监 Yossi Rachman 告诉 SC Media。
同样在周二,美国众议院能源和商业委员会的健康小组委员会举行了一场听证会,主题是“在医疗保健袭击发生变化后检查卫生部门的安全”。 在听证会上作证的证人包括 CrowdStrike 公共政策和战略高级总监罗伯特·谢尔登 (Robert Sheldon),以及卫生组织主管和一名整形外科医生。
在听证会上,国会成员向证人询问了这次攻击对美国医疗保健系统的持续、巨大影响以及防止未来攻击的潜在策略,而一些人还呼吁联邦政府对医疗保健网络安全提供更多支持。
一些立法者批评 Change Healthcare 对袭击事件的反应,以及没有派代表在听证会上接受质询。
“[UnitedHealth Group] 对我们医疗保健系统现有的漏洞拥有批判性的视角和洞察力,他们还可以回答一些挥之不去的问题,因为我们不断收到提供商的来信,因为他们对攻击的反应仍在继续,”众议员弗兰克·帕隆 (Frank Pallone) 表示。 .J.,在听证会上发表讲话。 “[…]我们需要该公司给出答案,因为 Change Healthcare 的平台估计涉及美国三分之一的患者记录,而此次攻击影响了全国 94% 的医院。”
Keeper Security 安全与副总裁表示,如果 RansomHub 将数据出售给最高出价者,则相信自己的个人数据可能会被泄露的 Change Healthcare 攻击的可能受害者应该准备好防范潜在的身份盗窃和其他形式的欺诈行为。建筑帕特里克·蒂奎特 (Patrick Tiquet) 告诉 SC Media。 Tiquet 还表示,受害者应该开始更改帐户密码,并考虑使用暗网跟踪服务来确定他们的信息是否已被泄露。
“随着勒索软件和其他勒索计划的不断发展和多样化,更多的恶意行为者可能会访问被盗数据。这使得多次勒索的可能性更高,被盗数据被出售的可能性也更高。”Swimlane 首席安全自动化架构师 Nick Tausek 在向 SC Media 发表评论时补充道。 “[……]随着勒索软件即服务等选项变得更加普遍,并且更多的恶意行为者可以访问攻击中的数据,各种团体进行的这种类型的多重勒索必然会增加。”
发表评论
您还未登录,请先登录。
登录