المتسللون الذين يقفون وراء هجوم برنامج الفدية للرعاية الصحية حصلوا للتو على دفعة قدرها 22 مليون دولار
كان هجوم برنامج الفدية الذي استهدف شركة Change Healthcare الطبية واحدًا من أكثر الهجمات تدميرًا منذ سنوات، حيث أدى إلى شل الصيدليات في جميع أنحاء الولايات المتحدة – بما في ذلك الصيدليات الموجودة في المستشفيات – وأدى إلى عقبات خطيرة في توصيل الأدوية الموصوفة في جميع أنحاء البلاد لمدة 10 أيام وما زال العدد في ازدياد. الآن، كشف نزاع داخل الشبكة الإجرامية السرية عن تطور جديد في تلك الكارثة التي تتكشف: يشير أحد شركاء المتسللين الذين يقفون وراء الهجوم إلى أن هؤلاء المتسللين، وهي مجموعة تعرف باسم AlphV أو BlackCat، تلقوا صفقة بقيمة 22 مليون دولار تبدو شديدة السوء. يشبه إلى حد كبير دفع فدية كبيرة.
في الأول من مارس، تلقى عنوان بيتكوين متصل بـ AlphV 350 بيتكوين في معاملة واحدة، أو ما يقرب من 22 مليون دولار بناءً على أسعار الصرف في ذلك الوقت. وبعد ذلك بيومين، نشر شخص يصف نفسه بأنه تابع لـ AlphV – أحد المتسللين الذين يعملون مع المجموعة لاختراق شبكات الضحايا – في المنتدى السري لمجرمي الإنترنت RAMP أن AlphV قد خدعتهم للحصول على حصتهم في فدية Change Healthcare ، مشيرًا إلى المعاملة المرئية للعامة بقيمة 22 مليون دولار على blockchain الخاص بالبيتكوين كدليل.
يشير ذلك، وفقًا لديمتري سميليانتس، الباحث في شركة الأمن Recorded Future الذي اكتشف المنشور لأول مرة، إلى أن شركة Change Healthcare من المحتمل أن تكون قد دفعت فدية AlphV. “يمكنك رؤية عدد العملات المعدنية التي وصلت هناك. يقول سميليانتس: “لا ترى هذا النوع من المعاملات في كثير من الأحيان”. “هناك دليل على وصول مبلغ كبير إلى محفظة Bitcoin التي تسيطر عليها AlphV. وتقوم هذه الشركة التابعة بربط هذا العنوان بالهجوم على منظمة Change Healthcare. لذا فمن المرجح أن الضحية دفع الفدية”.
عندما تواصلت WIRED مع شركة United Healthcare، التي تمتلك شركة Change Healthcare، رفض متحدث باسمها الإجابة عما إذا كانت الشركة قد دفعت فدية لشركة AlphV، واكتفى بالقول “نحن نركز على التحقيق الآن”.
تقوم كل من Recorded Future وTRM Labs، وهي شركة تحليل blockchain، بتوصيل عنوان Bitcoin الذي تلقى دفعة بقيمة 22 مليون دولار إلى قراصنة AlphV. تقول TRM Labs إنها تستطيع ربط العنوان بالمدفوعات من ضحيتين أخريين لـ AlphV في يناير.
إذا دفعت شركة Change Healthcare فدية قدرها 22 مليون دولار، فلن يمثل ذلك مجرد يوم دفع ضخم لـ AlphV، ولكنه يمثل أيضًا سابقة خطيرة لصناعة الرعاية الصحية، كما يقول بريت كالو، الباحث الذي يركز على برامج الفدية مع شركة الأمن Emsisoft. ويقول إن كل دفعة من برامج الفدية تمول الهجمات المستقبلية التي تشنها المجموعة المسؤولة وتقترح على مفترسي برامج الفدية الآخرين تجربة نفس قواعد اللعبة، وفي هذه الحالة، مهاجمة خدمات الرعاية الصحية التي يعتمد عليها المرضى.
يقول كالو: “إذا كان برنامج التغيير قد دفع بالفعل، فسيكون الأمر بمثابة مشكلة”. “إنه يسلط الضوء على ربحية الهجمات على قطاع الرعاية الصحية. عصابات برامج الفدية لا يمكن التنبؤ بها: إذا وجدوا قطاعًا معينًا مربحًا، فسوف يهاجمونه مرارًا وتكرارًا، ويغسلونه ويكررونه.
الشركة التابعة التي تصف نفسها بـ AlphV والتي نشرت لأول مرة دليلاً على الدفع على RAMP، والتي تحمل اسم “notchy”، اشتكت من أن AlphV قد جمعت على ما يبدو فدية قدرها 22 مليون دولار من Change Healthcare ثم احتفظت بالمبلغ بالكامل، بدلاً من مشاركة الفدية. الأرباح مع شريكهم في القرصنة كما زُعم أنهم اتفقوا. كتب نوتشي: “كن حذرًا جميعًا وأوقف التعامل مع ALPHV”.