Der US-Gesundheitsriese Change Healthcare hat Berichten zufolge eine Lösegeldzahlung in Höhe von 22 Millionen US-Dollar an die berüchtigte BlackCat-Ransomware-Gruppe (ALPHV) geleistet. Diese Zahlung erfolgt zu einem Zeitpunkt, zu dem sich das Unternehmen mit den Bemühungen zur Wiederherstellung der Dienste auseinandersetzt nach einem Cyberangriff das hat mehrere Wochen lang zu weitreichenden Störungen der Dienstleistungen für verschreibungspflichtige Medikamente im ganzen Land geführt.
Seitdem hat die BlackCat (ALPHV) Ransomware-Bande ihre Server heruntergefahren, Berichten zufolge, nachdem er angeblich einen am Optum-Angriff beteiligten Partner um 22 Millionen US-Dollar betrogen hatte. Auf der Tox-Nachrichtenplattform, die vom BlackCat-Ransomware-Betreiber verwendet wird, wird jetzt eine Meldung auf Russisch angezeigt: „втеклтатетов“, was soviel bedeutet wie „Alles ist aus, wir entscheiden.“
Dieser Schritt kann mit Behauptungen einer Person zusammenhängen, die sich als langjähriger ALPHV/BlackCat-Partner identifiziert hat, der an dem Optum-Angriff beteiligt war. Sie behaupten, ALPHV habe ihr Affiliate-Konto gesperrt und mit einem Lösegeld von 22 Millionen US-Dollar geflohen, das angeblich von Optum für den Change Healthcare-Angriff gezahlt wurde.
Was wir wissen
Zeitleiste
Kompromittierte amerikanische Gesundheitsdaten
Berichten des Threat Intelligence-Teams von Menlo Labs zufolge könnte sich die Geschäftstätigkeit von Change Healthcare auf die Gesundheitsdaten fast aller Amerikaner auswirken. Dies ist angesichts der riesigen Datenmenge besorgniserregend. Berichten zufolge befinden sich rund 4 TB an Daten von US-Bürgern im Besitz einer betrogenen ehemaligen Tochtergesellschaft von ALPHV/BlackCat. Die kompromittierten Informationen umfassen eine Vielzahl persönlicher und medizinischer Daten, darunter insbesondere Daten aus wichtigen nationalen Gesundheitsprogrammen wie Medicare und TRICARE.
Das Durchsickern solch sensibler Daten stellt nicht nur eine direkte Bedrohung der Privatsphäre und Sicherheit von Millionen von Nutznießern dar, sondern hat auch weitreichendere Auswirkungen auf die nationale Sicherheit. Angesichts der umfassenden und detaillierten Natur der Informationen, auf die potenziell zugegriffen werden kann, unterstreicht dieser Vorfall, wie wichtig es ist, die Cybersicherheitsmaßnahmen rund um kritische Infrastrukturen und Datensysteme im Gesundheitswesen zu verstärken.
Es ist zwar vernünftig, von ihrem erheblichen Einfluss auf die gesamte amerikanische Gesundheitslandschaft auszugehen, aber Behauptungen, sie hätten die totale Kontrolle über alle Gesundheitsdaten der Amerikaner, sollten ohne stichhaltige Beweise vorsichtig angegangen werden. Darüber hinaus war Change Healthcare am 28. Februar 2024 immer noch auf der Website aufgeführt.
Die Situation rund um Change Healthcare hat sich durch den sich abzeichnenden Skandal um die BlackCat-Ransomware-Gruppe und Hinweise auf eine Beteiligung chinesischer staatlich geförderter Unternehmen erheblich verändert. Diese Anschuldigungen der vom chinesischen Staat geförderten Verbände sind jedoch nicht stichhaltig, und wir verfolgen die Entwicklungen genau. Es ist zwar plausibel, dass die angebliche BlackCat-Tochtergesellschaft mit einer Operation des chinesischen Nationalstaats in Verbindung steht, aber um zu einer endgültigen Schlussfolgerung zu gelangen, sind umfangreiche Beweise aus glaubwürdigen Quellen erforderlich.
Kommentar eines Analysten: Einige unserer HUMINT-Quellen mit direktem Kontakt zu Notchy geben an, dass Notchy mit hoher Wahrscheinlichkeit mit Gruppen chinesischer Nationalstaaten in Verbindung steht.
Viele Analysten in der Community haben sich zu der sich entwickelnden Geschichte geäußert und angedeutet: „Dies scheint ein klassischer Exit-Betrug zu sein“. Bei einem solchen Betrug täuschen die Täter eine Betriebsunterbrechung vor, missbrauchen heimlich die Gelder ihrer Mitarbeiter und tauchen möglicherweise unter einem anderen Deckmantel wieder auf. Unsere Analyse deckt sich mit dieser Perspektive, weshalb wir davon ausgehen, dass ein Exit-Betrug eine sehr wahrscheinliche Erklärung ist. Im Folgenden präsentieren wir die Beweise, die unsere Schlussfolgerung untermauern, sowie mögliche Auswirkungen auf Interessengruppen und das gesamte Cybersicherheitsökosystem.
Notchy taucht in Dark-Web-Foren auf
Kommentar des Analysten: Bitte beachten Sie, dass die folgende Analyse in einer sicheren Umgebung unter Verwendung branchenüblicher Methoden für die Datenerfassung durchgeführt wurde. Informationen mussten aufgrund ihrer Sensibilität redigiert und/oder entfernt werden. In einer TLP Red-Umgebung können wir möglicherweise weitere Informationen bereitstellen.
Angesichts der Tatsache, dass zahlreiche Forscher auf das obige Foto verwiesen haben, haben wir die Diskussionen auf RAMP — einem Dark-Web-Forum, das für seine Eintrittsbarriere bekannt ist, entweder gegen eine Gebühr von 500 USD oder eine Genehmigung durch den Administrator — gründlich analysiert, um Einblicke in diesen Thread zu erhalten. Im Folgenden skizzieren wir die wichtigsten Erkenntnisse aus den Forumsdiskussionen und heben dabei die Teile hervor, die Aufschluss über die Entwicklung der Situation geben.
Am 03. März 2024, um 15:43 Uhr UTC, initiierte ein als „notchy“ identifizierter Forenbenutzer einen Thread, in dem behauptet wurde, der Affiliate zu sein, der für den Ransomware-Angriff auf Change Healthcare verantwortlich war. Laut Notchy haben sie trotz der angeblichen Zahlung des Lösegeldes durch das Unternehmen die versprochene Entschädigung nicht erhalten.
Kommentar des Analysten: Ramp setzt eine Regel durch, nach der Personen, denen Betrug vorgeworfen wird, die Möglichkeit haben, sich zu verteidigen. Dies wurde in einem administrativen Beitrag veranschaulicht, in dem der Benutzer '@BlackCat46' markiert wurde:
„Sie haben die Möglichkeit, zu antworten, bevor ich eine Entscheidung treffe, Ihre Protokolle und Ihre Sichtweise zu dem Problem bereitzustellen. Der Angeklagte ist seit dem 22. August letzten Jahres nicht mehr im Forum erschienen. Wenn jemand die Möglichkeit hat, benachrichtigen Sie ihn über die Ihnen bekannten Kontakte über diese Behauptung.“
Spätere Beobachtungen im Thread, Stand 05. März 2024, um 12:56 Uhr UTC, ergaben Aktivitäten, die möglicherweise auf die Anwesenheit der Gruppe unter einem alternativen Namen, "@ransom“, hindeuten. Dieser Beitrag, ursprünglich auf Russisch, ist unten übersetzt:
„Es macht keinen Sinn, Ausreden zu finden, aber wir wussten von dem Problem, haben versucht, es zu lösen, dem Werbetreibenden wurde gesagt, er solle warten, wir könnten jetzt unsere persönliche Korrespondenz unter uns senden, in der wir schockiert sind über das, was passiert, und versuchen, Transaktionen mit einer höheren Provision zu überbieten, aber das macht keinen Sinn, weil wir beschlossen haben, das Projekt komplett einzustellen. Wir können offiziell erklären, dass das FBI uns verarscht hat. Der Quellcode wird verkauft, Verhandlungen zu diesem Thema sind bereits im Gange. Danke euch allen, dass ihr bei uns seid. Ihr könnt euren Account löschen, ich werde nicht noch einmal vor Gericht gehen, wir haben keine anderen Accounts in anderen Foren, das ist alles falsch.“
Notchy antwortete am 05. März 2024, 03:32 Uhr UTC "@ransom hör auf, dem FBI die Schuld zu geben. Niemand ist hier idiotisch, um zu glauben, was du gesagt hast. Gib zurück, was du gestohlen hast, und sei ein Mann mit Würde“
Weitere Untersuchungen ergeben, dass der Benutzer Notchy nicht nur im Ramp-Forum, sondern auch im Exploit-Forum aktiv ist, wie ein bereitgestellter Screenshot zeigt.
Ein weiterer interessanter Account mit dem Nutzernamen Notchy ist ein XSS Forum Account. Dies liegt daran, dass dieser Account einen Beitrag kommentiert hat, der Malware verkauft. Dieser Kommentar wurde am 10. Oktober mit den Worten „vertrauenswürdiger Verkäufer und Originalprodukte A+++“ abgegeben.
Die von Notchy gekaufte Malware umfasst Berichten zufolge SmartScreen Killer und die neueste Version von Cobalt Strike. Wir haben auch einen potenziellen Hash im Zusammenhang mit diesem Malware-Kauf identifiziert. Ohne weitere Informationen zum Change Healthcare-Angriff können wir nicht feststellen, ob diese Malware gegen sie eingesetzt wurde oder nicht.
Nichtsdestotrotz wirft dieser Zusammenhang wichtige Fragen zur möglichen Beteiligung von „Notchy“ an Cyberaktivitäten auf, die nicht nur die Foren Ramp und Exploit betreffen.
Als wir zu X (Twitter) übergingen, sahen wir, wie Nutzer über den Exit-Betrug sprachen, den ALPHV/BlackCat angeblich durchführen. Laut Fabian Wosar, „Da die Leute immer noch auf die Vertuschung von ALPHV/BlackCat hereinfallen: ALPHV/BlackCat wurde nicht beschlagnahmt. Sie sind dabei, ihre Affiliates zu betrügen. Es ist offensichtlich, wenn Sie den Quellcode der neuen Takedown-Mitteilung überprüfen. Du wirst Code wie diesen sehen“. Das folgende Bild wurde zusammen mit dem Tweet gepostet.
Ein weiterer X-Benutzer hat dieses Bild geteilt, das angeblich zeigt, wie BlackCat ihren Quellcode verkauft. Diese Informationen spiegeln die ersten Diskussionen im Ramp-Forum wider. Durch diesen Zusammenhang schließt sich der Kreis unserer Untersuchung fast vollständig, gleichzeitig wird aber auch deutlich, wie schnell sie aussteigen, da ihre Tools möglicherweise zum letzten Mal verbreitet und monetarisiert werden.
Das Drama, das sich vor dem Hintergrund von Ramps rätselhaften Forumsdiskussionen und den scharfsinnigen Einsichten von Beobachtern abspielt, macht unsere Geschichte eine Pause, während wir darauf warten, was in naher Zukunft kommen wird. Es ist eine eindringliche Erinnerung daran, dass in der Cyberwelt, in der jeder Schatten eine Geschichte verbergen und jedes Byte ein Geheimnis enthüllen könnte, Unsicherheit an oberster Stelle steht.
Die nächsten Schritte
Die Gesundheitsbranche drängt die Regierung, einzugreifen und Krankenhäuser finanziell zu unterstützen, insbesondere in ländlichen Gebieten, um zu verhindern, dass ihnen die Mittel ausgehen. Die Zahlungssysteme für Krankenhäuser und verschiedene Gesundheitsorganisationen wurden durch den Angriff auf Change stark beeinträchtigt, was zu erheblichen Verzögerungen führte. In einigen Krankenhäusern besteht nun die Gefahr, dass ihnen das Geld ausgeht, während sie auf eine Lösung des Problems warten. Die oberste Priorität von Change Healthcare wird darin bestehen, die Systeme wieder in Betrieb zu nehmen und gleichzeitig die Daten beizubehalten, die für eine gründliche Untersuchung erforderlich sind. Der Zeitplan würde von vielen Variablen abhängen.
Was Notchy tun wird und wohin die Geschichte führt, werden wir uns alle ansehen. Notchy postete am 4. März 2024 um 09:13 UTC eine Bitte an andere, sich an einer gemeinsamen Operation zu beteiligen, und ließ den Beitrag später auf Ramp entfernen. Es besteht das Risiko, dass der ehemalige Partner von ALPHV/BlackCat, dem sein Teil des Lösegeldes gestohlen wurde, versucht, die gestohlenen Daten privat im Darkweb zu verkaufen, um das, was er verloren hat, wiederzugewinnen. Es besteht auch die Möglichkeit, dass wir die Veröffentlichung der internen Daten und Informationen von BlackCat als eine Form von Vergeltung ansehen könnten, verbunden mit der Gefahr einer doppelten Erpressung. In einem solchen Szenario könnten sie sich immer noch dafür entscheiden, die Daten irgendwann kostenlos herauszugeben.
Die Minderung der Folgen der kompromittierten Informationen sollte oberste Priorität haben, da Gerüchten zufolge nicht nur die Mehrheit der Zivilisten, sondern auch des Bundes- und Militärpersonals davon betroffen sein wird.
