Eine Erpressergruppe hat einen Teil der angeblich privaten und sensiblen Patientenakten von Millionen Amerikanern veröffentlicht, die während des Ransomware-Angriffs auf Change Healthcare im Februar gestohlen wurden.
Am Montag veröffentlichte eine neue Ransomware- und Erpresserbande, die sich RansomHub nennt, auf ihrer Dark-Web-Leak-Site mehrere Dateien, die persönliche Informationen über Patienten in verschiedenen Dokumenten enthalten, darunter Rechnungsdateien, Versicherungsunterlagen und medizinische Informationen.
Einige der Dateien, die Tech eingesehen hat, enthalten auch Verträge und Vereinbarungen zwischen Change Healthcare und seinen Partnern.
RansomHub drohte damit, die Daten an den Meistbietenden zu verkaufen, sofern Change Healthcare kein Lösegeld zahlt.
Es ist das erste Mal, dass Cyberkriminelle Beweise dafür veröffentlicht haben, dass sie im Besitz von Kranken- und Patientenakten des Cyberangriffs sind.
Für Change Healthcare gibt es noch eine weitere Komplikation: Dies ist die zweite Gruppe, die eine Lösegeldzahlung verlangt, um die Freigabe gestohlener Patientendaten in ebenso vielen Monaten zu verhindern.
UnitedHealth Group, die Muttergesellschaft von Change Healthcare, sagte, es gebe keine Hinweise auf einen neuen Cybervorfall. „Wir arbeiten mit Strafverfolgungsbehörden und externen Experten zusammen, um online veröffentlichte Ansprüche zu untersuchen und das Ausmaß der potenziell betroffenen Daten zu verstehen. Unsere Ermittlungen sind weiterhin aktiv und dauern an“, sagte Tyler Mason, ein Sprecher der UnitedHealth Group.
Wahrscheinlicher ist, dass ein Streit zwischen Mitgliedern und Verbündeten der Ransomware-Bande dazu geführt hat, dass die gestohlenen Daten in der Schwebe waren und Change Healthcare weiteren Erpressungen ausgesetzt war.
Eine in Russland ansässige Ransomware-Bande namens ALPHV machte sich den Datendiebstahl von Change Healthcare zu eigen. Dann, Anfang März, verschwand ALPHV plötzlich zusammen mit einer Lösegeldzahlung in Höhe von 22 Millionen US-Dollar, die Change Healthcare angeblich gezahlt hatte, um die Veröffentlichung von Patientendaten zu verhindern.
Ein ALPHV-Tochterunternehmen – im Wesentlichen ein Auftragnehmer, der eine Provision für die Cyberangriffe erhält, die es mithilfe der Malware der Bande startet – ging an die Öffentlichkeit und behauptete, den Datendiebstahl bei Change Healthcare begangen zu haben, doch das Hauptteam von ALPHV/BlackCat habe ihnen ihren Anteil daran verwehrt die Lösegeldzahlung und verschwand mit dem Los. Der Auftragnehmer sagte, die Millionen von Patientendaten seien „immer noch bei uns“.
Jetzt sagt RansomHub: „Wir haben die Daten und nicht ALPHV.“ Verkabelt, was zuerst berichtete über die Erpressung der zweiten Gruppe Bei einem Versuch am Freitag zitierte RansomHub mit den Worten, dass es mit dem Partner verbunden sei, der noch über die Daten verfüge.
UnitedHealth wollte zuvor nicht sagen, ob es das Lösegeld der Hacker gezahlt hat, und auch nicht, wie viele Daten bei dem Cyberangriff gestohlen wurden.
Der Gesundheitsriese sagte in einer Erklärung vom 27. März, er habe einen Datensatz erhalten, „der für uns sicher zugänglich und auswertbar“ sei, den das Unternehmen im Austausch für die Lösegeldzahlung erhalten habe, wie Tech von einer Quelle mit Kenntnis des laufenden Vorfalls erfuhr. UHG sagte, es gebe „der Überprüfung von Daten Priorität, von denen wir glauben, dass sie wahrscheinlich Gesundheitsinformationen, persönlich identifizierbare Informationen, Ansprüche und Anspruchsberechtigungen oder Finanzinformationen enthalten.“