.
Um criminoso que afirma ser afiliado do ALPHV/BlackCat – a gangue responsável pela infecção amplamente perturbadora do ransomware Change Healthcare no mês passado – pode ter ligações com sindicatos do crime cibernético apoiados pelo governo chinês.
A Menlo Security ligou esta semana Pequim ao ataque cibernético, que essencialmente deixou as farmácias em toda a América incapazes de consultar e processar o seguro de saúde das pessoas, forçando os pacientes a pagar do próprio bolso por medicamentos que salvam vidas ou a ficar sem estas prescrições essenciais.
Os criminosos conseguiram um pagamento de US$ 22 milhões em Bitcoin, supostamente um resgate pago pela gigante de saúde norte-americana controladora da Change, UnitedHealth.
Um malfeitor conhecido como “Notchy” afirma ser o afiliado da ALPHV por trás daquela intrusão de 21 de fevereiro que perturbou milhares de farmácias e hospitais americanos.
“Algumas de nossas fontes HUMINT com contato direto com Notchy dizem que é alta probabilidade de que Notchy esteja associado a grupos do Estado-nação da China”, disse a equipe de inteligência de ameaças de Menlo em um relatório na quarta-feira.
A equipe da infosec analisou discussões no Ramp, um fórum da dark web que cobra uma taxa de inscrição de US$ 500 ou requer aprovação do administrador. O relatório inclui uma captura de tela do usuário do Ramp, Notchy, alegando ser o afiliado responsável pelo ataque de ransomware Change. De acordo com Notchy – e aceite o que realmente é: as palavras de um criminoso – Change desembolsou o resgate multimilionário e o ALPHV roubou o valor total.
A partir da análise do Ramp, os pesquisadores da Menlo conseguiram obter um nome de usuário do Telegram, o que os levou a mensagens de abril de 2023 nas quais Notchy estava procurando o Cobalt Strike. Isto é significativo porque o Cobalt Strike é uma ferramenta legítima de teste de segurança frequentemente usada por criminosos para obter acesso inicial aos ambientes de TI das vítimas antes de implantar o ransomware.
Além disso, os caçadores de ameaças encontraram Notchy nos fóruns de crime Exploit e XSS, que permitem aos usuários comprar e vender malware, e neste último eles foram considerados um “vendedor confiável e produtos genuínos A+++”.
Menlo diz que Notchy provavelmente comprou o malware SmartScreen Killer, bem como a versão mais recente do Cobalt Strike. “Também identificamos um hash potencial associado a esta compra de malware”, observou a equipe de inteligência. “Sem mais detalhes sobre o ataque Change Healthcare, não podemos determinar se este malware foi usado contra eles ou não.”
A infecção por ransomware, além de ter um impacto material na UnitedHealth, teve efeitos devastadores no sistema de saúde dos EUA e nos pacientes que atende.
Na terça-feira, o Departamento de Saúde e Serviços Humanos interveio para ajudar hospitais e outros prestadores de cuidados de saúde afetados pela infecção BlackCat, oferecendo regras mais flexíveis do Medicare e apelando a financiamento avançado aos prestadores.
Ainda assim, “mais precisa ser feito”, segundo o presidente e CEO da American Hospital Association, Rick Pollack.
A associação, cujos membros incluem cerca de 5.000 hospitais dos EUA e outras organizações de saúde, instou o Congresso a aprovar um programa de assistência financeira e fornecer “acesso imediato ao financiamento” para todos os provedores afetados pelo que descreve como o “pior ataque cibernético ao nosso sistema de saúde em história.” ®
.
