RansomHub gasp çetesi, şirket için uzun ve karmaşık bir gasp süreci olan United Health’in yan kuruluşu Change Healthcare’den çalındığını iddia ettikleri kurumsal ve hasta verilerini sızdırmaya başladı.
Şubat ayında Change Healthcare, ABD sağlık sisteminde büyük bir aksamaya neden olan, eczanelerin ve doktorların sigorta şirketlerine fatura kesmesini veya talep göndermesini engelleyen bir siber saldırıya uğradı.
Saldırı sonuçta BlackCat/ALPHV fidye yazılımı operasyonuyla bağlantılıydı ve daha sonra saldırı sırasında 6 TB veri çaldıklarını söyledi.
Kolluk kuvvetlerinin artan baskısıyla karşı karşıya kalan BlackCat çetesi, operasyonlarını durdurdu. Bu olay, saldırıyı gerçekleştiren bağlı kuruluştan 22 milyon dolarlık Change Healthcare fidye ödemesini çalarak çıkış dolandırıcılığı yaptıkları iddialarının ortasında gerçekleşti.
Change Healthcare, fidye ödeyip ödemediği konusunda yorum yapmaktan kaçınırken, “Notchy” olarak bilinen bağlı kuruluş, şirketin verileri hâlâ ellerinde olduğundan Change Healthcare’i tekrar şantaj yapacaklarını söyledi.
Gerçek bir çifte gasp
BlackCat kapandıktan sonra bağlı kuruluş Notchy, şirketin zaten bir fidye ödediği iddia edilmesine rağmen RansomHub fidye yazılımı çetesiyle bir kez daha Change Healthcare’den şantaj yapmak için ortaklık kurdu.
Tehdit aktörü, RansomHub veri sızıntısı sitesinde, Change Healthcare ve United Health’in kendileriyle “anlaşmaya varmaması” halinde tüm verilerin açıklanacağını belirten bir açıklama yaptı.
Bir hafta sonra bugün, tehdit aktörleri Şubat ayındaki fidye yazılımı saldırısı sırasında Change Healthcare’den çalındığını iddia ettikleri dosyaların ekran görüntülerini sızdırmaya başladı.
Ekran görüntüleri, Change Healthcare ile CVS Caremark, Health Net ve Loomis dahil sigorta sağlayıcıları arasındaki veri paylaşım anlaşmalarını içeriyor. Diğer belgeler, eskime raporları, sigorta ödeme raporları ve diğer mali bilgiler dahil olmak üzere muhasebe verilerini içerir.
Ancak en endişe verici olan, sızdırılan verilerin aynı zamanda borçlu olunan tutarlar ve verilen hasta bakım hizmetlerine ilişkin faturalar da dahil olmak üzere hasta bilgilerini de içermesidir.
Tehdit aktörleri artık Change Healthcare’in şantaj talebini ödemek için beş günü olduğunu, aksi takdirde verileri en yüksek teklifi verene satacaklarını söylüyor.
BleepingComputer, sızdırılan verilerin Change Healthcare’den çalınıp çalınmadığını doğrulayamıyor ancak bu verilerin şirkete ait olduğu görülüyor.
BleepingComputer, sızıntıyla ilgili soruları için şirketle temasa geçti ancak hemen bir yanıt alınamadı.