Когда в прошлом месяце платежная система Change Healthcare подверглась атаке вируса-вымогателя в ходе инцидента, который парализовал работу части системы здравоохранения США, группа, взявшая на себя ответственность, заявила, что похитила около 6 терабайт данных.
Теперь сайт, вымогающий данные, дает Change Healthcare срок до 20 апреля, чтобы выкупить большую часть этих данных, прежде чем они будут проданы тому, кто заплатит самую высокую цену.
Операторы RansomHub, сайта в даркнете, используемого для продажи с аукциона ранее украденных данных или проведения новых атак с использованием программ-вымогателей, опубликовали в воскресенье уведомление, в котором говорится, что у них есть «более 4 ТБ крайне выборочных данных», полученных в результате атаки на Change Healthcare 21 февраля .
Группа вирусов-вымогателей, известная как ALPHV или BlackCat, взяла на себя ответственность за атаку на Change Healthcare. Атака, по всей видимости, была осуществлена сообщником ALPHV, известным как «notchy», с условием, что обе стороны разделят полученный выкуп. Однако после того, как материнская компания Change Healthcare, по всей видимости, выплатила выкуп в размере 22 миллионов долларов, Notchy заявил, что ALPHV забрала эти деньги и скрылась , обманным путём лишив Notchy своей доли.
На прошлой неделе CyberScoop сообщил , что исследователи из компании TRM Labs, занимающейся блокчейн-аналитикой, наблюдали перемещение 22 миллионов долларов в течение марта и начала апреля, что свидетельствует об отмывании денег. Исследователи отмечают, что 4 терабайта данных, которые, по заявлению Notchy, находились у него, остаются неиспользованным активом после того, как группировка, по всей видимости, лишилась своей доли выкупа.
Сообщение, опубликованное в воскресенье на RansomHub, адресовано напрямую Change Healthcare и её материнской компании UnitedHealth Group. «У вас есть один шанс защитить данные ваших клиентов», — говорится в сообщении, при этом отмечается, что данные ещё нигде не публиковались и не передавались. «Если вам не удастся достичь соглашения, данные будут выставлены на продажу тому, кто предложит самую высокую цену».
Представитель UnitedHealth Group не ответил на вопрос об угрозе.
На просьбу предоставить доказательства того, что сайт действительно владеет данными Change Healthcare, представитель RansomHub сказал CyberScoop «продолжать следить за нашим блогом». Представитель не уточнил, контактировал ли сайт с UnitedHealth Group.
Компания ALPHV заявила о наличии 6 терабайт данных Change Healthcare в кратком сообщении, опубликованном на её сайте через несколько дней после атаки на Change Healthcare. Notchy никогда не утверждал, что у неё есть что-либо, кроме 4 терабайт. Разница между этими двумя цифрами так и не была объяснена.
Пользователь под ником «koley» запустил RansomHub в начале февраля на форуме киберпреступности RAMP, сообщили во вторник CyberScoop исследователи компании по кибербезопасности KELA . Сайт называл себя «вымогателем следующего поколения» и предлагал партнёрам фиксированную долю в размере 10% от выручки.
Сайт, в блоге которого, помимо Change Healthcare, указано 31 жертва, также включил в свои правила запрет на атаки на страны Содружества Независимых Государств, поддерживающие Россию, а также на Кубу, Северную Корею, Китай и Румынию. Среди других правил — запрет на повторные атаки на одну и ту же цель, обязательное выполнение аффилированными лицами условий соглашений, заключённых с жертвами, и запрет на атаки на некоммерческие организации.
«Члены нашей команды из разных стран, и нас ничего больше не интересует, нас интересуют только доллары», — говорится в сообщении, опубликованном на сайте группы.
В разговоре с notchy на форуме RAMP в прошлом месяце Коли предположил, что, возможно, ALPHV «планирует покончить с мошенничеством» после того, как ФБР «взломало» её в декабре 2023 года, согласно копии обмена, полученной KELA. В декабре ФБР частично нарушило работу сайта ALPHV , но ALPHV удалось частично восстановить его работу и продолжить работу.
«Сохраните свои улики», — сказал Коули, добавив, что решение ALPHV забрать деньги и скрыться навредит его репутации в криминальном мире. «Если он вам не заплатит, думаю, многие от него отвернутся. Он потерял более 22 миллионов долларов. Если у него ещё сохранилось человеческое достоинство, он должен хотя бы вернуть вам деньги или отдать вам их часть».
Представитель RansomHub в своем сообщении, отправленном в понедельник VX-Underground, онлайн-хранилищу вредоносных программ и аналитики, заявил, что «многие» филиалы ALPHV «активно присоединяются к нам».
Теперь сайт, вымогающий данные, дает Change Healthcare срок до 20 апреля, чтобы выкупить большую часть этих данных, прежде чем они будут проданы тому, кто заплатит самую высокую цену.
Операторы RansomHub, сайта в даркнете, используемого для продажи с аукциона ранее украденных данных или проведения новых атак с использованием программ-вымогателей, опубликовали в воскресенье уведомление, в котором говорится, что у них есть «более 4 ТБ крайне выборочных данных», полученных в результате атаки на Change Healthcare 21 февраля .
Группа вирусов-вымогателей, известная как ALPHV или BlackCat, взяла на себя ответственность за атаку на Change Healthcare. Атака, по всей видимости, была осуществлена сообщником ALPHV, известным как «notchy», с условием, что обе стороны разделят полученный выкуп. Однако после того, как материнская компания Change Healthcare, по всей видимости, выплатила выкуп в размере 22 миллионов долларов, Notchy заявил, что ALPHV забрала эти деньги и скрылась , обманным путём лишив Notchy своей доли.
На прошлой неделе CyberScoop сообщил , что исследователи из компании TRM Labs, занимающейся блокчейн-аналитикой, наблюдали перемещение 22 миллионов долларов в течение марта и начала апреля, что свидетельствует об отмывании денег. Исследователи отмечают, что 4 терабайта данных, которые, по заявлению Notchy, находились у него, остаются неиспользованным активом после того, как группировка, по всей видимости, лишилась своей доли выкупа.
Сообщение, опубликованное в воскресенье на RansomHub, адресовано напрямую Change Healthcare и её материнской компании UnitedHealth Group. «У вас есть один шанс защитить данные ваших клиентов», — говорится в сообщении, при этом отмечается, что данные ещё нигде не публиковались и не передавались. «Если вам не удастся достичь соглашения, данные будут выставлены на продажу тому, кто предложит самую высокую цену».
Представитель UnitedHealth Group не ответил на вопрос об угрозе.
На просьбу предоставить доказательства того, что сайт действительно владеет данными Change Healthcare, представитель RansomHub сказал CyberScoop «продолжать следить за нашим блогом». Представитель не уточнил, контактировал ли сайт с UnitedHealth Group.
Компания ALPHV заявила о наличии 6 терабайт данных Change Healthcare в кратком сообщении, опубликованном на её сайте через несколько дней после атаки на Change Healthcare. Notchy никогда не утверждал, что у неё есть что-либо, кроме 4 терабайт. Разница между этими двумя цифрами так и не была объяснена.
Пользователь под ником «koley» запустил RansomHub в начале февраля на форуме киберпреступности RAMP, сообщили во вторник CyberScoop исследователи компании по кибербезопасности KELA . Сайт называл себя «вымогателем следующего поколения» и предлагал партнёрам фиксированную долю в размере 10% от выручки.
Сайт, в блоге которого, помимо Change Healthcare, указано 31 жертва, также включил в свои правила запрет на атаки на страны Содружества Независимых Государств, поддерживающие Россию, а также на Кубу, Северную Корею, Китай и Румынию. Среди других правил — запрет на повторные атаки на одну и ту же цель, обязательное выполнение аффилированными лицами условий соглашений, заключённых с жертвами, и запрет на атаки на некоммерческие организации.
«Члены нашей команды из разных стран, и нас ничего больше не интересует, нас интересуют только доллары», — говорится в сообщении, опубликованном на сайте группы.
В разговоре с notchy на форуме RAMP в прошлом месяце Коли предположил, что, возможно, ALPHV «планирует покончить с мошенничеством» после того, как ФБР «взломало» её в декабре 2023 года, согласно копии обмена, полученной KELA. В декабре ФБР частично нарушило работу сайта ALPHV , но ALPHV удалось частично восстановить его работу и продолжить работу.
«Сохраните свои улики», — сказал Коули, добавив, что решение ALPHV забрать деньги и скрыться навредит его репутации в криминальном мире. «Если он вам не заплатит, думаю, многие от него отвернутся. Он потерял более 22 миллионов долларов. Если у него ещё сохранилось человеческое достоинство, он должен хотя бы вернуть вам деньги или отдать вам их часть».
Представитель RansomHub в своем сообщении, отправленном в понедельник VX-Underground, онлайн-хранилищу вредоносных программ и аналитики, заявил, что «многие» филиалы ALPHV «активно присоединяются к нам».
