Mucho después de que el ataque salió a la luz, Change Healthcare envió un comunicado a los medios de comunicación en el que confirmó lo que ya habían adelantado tanto ciberdelincuentes, como investigadores de seguridad y hasta la cadena de bloques de Bitcoin: la empresa cedió a la extorsión y depositó 350 bitcoins, ó 20.6 millones de euros aproximadamente, a una billetera criptográfica asociada a los piratas informáticos AlphV/BlackCat.
“Se pagó un rescate como parte del compromiso de la compañía de hacer todo lo posible para proteger los datos de los pacientes de la divulgación”, dice el texto divulgado por Change Healthcare. Según informa Wired, expertos en ciberseguridad y criptomonedas descubrieron que la empresa habría realizado el pago el 1 de marzo.
Sin embargo, la propia empresa reconoció en otra publicación –realizada en su web oficial días atrás– que “continúa monitoreando Internet y la web oscura para determinar si se han publicado datos. Hubo 22 capturas de pantalla, supuestamente de archivos exfiltrados, algunos conteniendo información de salud protegida (PHI) e información de identificación personal (PII), publicadas durante aproximadamente una semana en la web oscura por un actor de amenazas malicioso”.
Es decir, los datos no han sido recuperados, todavía corre el riesgo de perder una gran cantidad de información médica confidencial de sus clientes y no hay certezas sobre su filtración.
Los especialistas en ciberseguridad recomiendan enfáticamente no ceder ante este tipo de presiones ya que no existe garantía de recuperar la información –tal como lo demuestra este mismo caso–, y fomenta, por un lado, el lucro de los ciberdelincuentes, que, si observan que las empresas empiezan a pagar los rescates, se volcarán cada vez más a las extorsiones, y por otro, que enfoquen sus ataques en centros médicos y hospitales.
Change Healthcare ofrece un software que procesa cobros y recetas médicas para centenares de hospitales y centros médicos de todo el territorio estadounidense. Se calcula que gestiona alrededor de 15.000 millones de pagos de pacientes al año y se vincula con un tercio de todos los historiales médicos de EE.UU. La Asociación de Hospitales Estadounidense (AMA) ha calificado este ataque como “el más importante contra el sistema sanitario estadounidense en toda la historia del país”.
Hasta el momento, la compañía estima que ha perdido cerca de 815 millones de euros y calcula que esa cifra seguirá aumentando.
Según informa Reuters, los centros médicos más afectados se dedican a la salud mental, a oncología no hospitalaria y a enfermedades crónicas, cuyos pacientes se encontraron imposibilitados de pagar o retirar sus medicamentos.
Instituciones sanitarias de todo Estados Unidos no han podido percibir ingresos desde el ataque y algunos han utilizado su propio dinero para pagar a los empleados, mientras que otros se han visto obligados a despedir personal o pedir préstamos para cubrir las nóminas, indica la web WSJ PRO.
Incluso una residencia de ancianos de Pensilvania debió cerrar sus puertas a causa del ciberataque que remató una situación económica complicada.
Lo que se sabe sobre el ataque
Investigadores de ciberseguridad descubrieron que el 12 de febrero los ciberdelincuentes ingresaron a la red de Change Healthcare, y estuvieron varios días recopilando información.
El 21 de febrero la compañía informó que una “amenaza externa” estaba interrumpiendo el funcionamiento de sus servicios.
La banda de ransomware Alphv/BlackCat se atribuyó el ataque y dijo que robó seis terabytes de datos.
Este bloqueo ha significado que hospitales de todo el territorio estadounidense se encontraron con sus sistemas paralizados, no podían emitir recetas, recibir pagos por la atención médica brindada ni presentar reclamaciones de seguros, y las farmacias no podían entregar medicamentos a los pacientes, entre otros impedimentos. Muchas de estas organizaciones se vieron obligadas a volver a los procedimientos manuales, pero esto no resolvió todas las dificultades.
El pago del rescate se habría realizado el 1 de marzo. Esta información comenzó a circular en un foro de ciberdelincuencia ruso conocido como RAMP, donde otro grupo criminal afirmó que había participado del ataque a Change Healthcare como socio, y que Alphv/BlackCat se había quedado con su parte del dinero y había desaparecido.
Pero la situación de complejiza más aún. Aparentemente, Alphv/BlackCat fingió su propia eliminación policial después de cobrar la recompensa que pagó la empresa, en un intento de evitar compartir las ganancias.
RansomHub, el segundo grupo criminal involucrado, nuevo y menos conocido, aseguró luego ellos tienen todos los datos robados, y no Alphv, y volvió a pedir rescate a Change Healthcare para no divulgar la información privada de millones de pacientes y clientes.