前情回顾·医疗行业网络威胁态势

安全内参3月6日消息,针对美国医疗IT公司Change Healthcare的勒索软件攻击是近年来最具破坏性的一次。这次攻击使得美国各地药店陷入瘫痪,就连医院内部药店也未能幸免,并对美国境内的处方药供应造成了严重困扰,已经持续了超过10天。

这场灾难性事件仍在不断发展,黑客组织内部的纷争揭示了最新的进展:攻击者背后的一个合作伙伴指出,发动攻击的AlphV或BlackCat黑客组织收到了一笔疑似赎金的巨额款项,金额高达2200万美元(约合人民币1.58亿元)。

勒索组织已收到超1.5亿元赎金

3月1日,与AlphV组织相关联的一个比特币地址收到了一笔交易,单笔交易金额达到了350比特币。按照当时的汇率,这笔金额接近2200万美元。两天后,一名自称隶属于AlphV组织、曾与该组织合作侵入受害者网络的黑客,在地下论坛RAMP上发布了帖子,声称AlphV组织欺骗了他们,未按约支付在Change Healthcare勒索事件中应得的份额。该黑客引用了比特币区块链上公开可见的2200万美元交易作为证据。

威胁情报公司Recorded Future研究员Dmitry Smilyanets首先注意到这篇帖子。他认为,Change Healthcare很可能向AlphV组织支付了赎金。Smilyanets说:“有很多比特币进入了账户,这种交易十分罕见。有证据表明,大量资金流入了AlphV组织控制的比特币钱包。而相关黑客将这个地址与对Change Healthcare的攻击联系在一起。因此,受害者很可能已经支付了赎金。”

美国联合健康集团旗下Change Healthcare公司发言人在接受采访时,拒绝回答是否向AlphV组织支付了赎金,仅回复称“我们现在专注于调查。”

Recorded Future和区块链分析公司TRM Labs都认为,接收到2200万美元款项的比特币地址与AlphV组织黑客有联系。TRM Labs表示,这个地址与1月的另外两个AlphV组织受害者的付款也有关联。

安全公司Emsisoft的勒索软件专家Brett Callow认为,如果Change Healthcare确实支付了2200万美元赎金,这不仅代表AlphV组织获得了巨额收入,也为医疗保健行业树立了危险的先例。他说,每一笔勒索软件赎金都会被黑客组织用来资助未来攻击,这也向其他勒索软件捕食者暗示他们应该尝试相同的策略——比如像这次事件一样,攻击患者依赖的医疗保健服务。

Callow表示:“如果Change确实付了赎金,会带来很多问题。这说明攻击医疗保健行业可以获得丰厚的利润。勒索软件团伙的行为很容易预测:一旦他们发现某个特定行业非常有利可图,他们将会发起一次又一次的攻击,反复如此。”

附属团队指责AlphV卷钱跑路,

受害企业数据仍处危险中

一名自称隶属于AlphV组织的黑客在RAMP论坛上发布了支付证据,并以用户名“notchy”抱怨说,AlphV组织显然从Change Healthcare那里收取了2200万美元赎金,然后将整笔款项私吞,而不是按照约定与黑客合作伙伴分享利润。notchy写道,“大家要小心,不要再与ALPHV组织打交道了。”

这位黑客还写道,在他们侵入Change Healthcare网络的过程中,他们已经访问了与该公司合作的众多其他医疗保健公司的数据。Recorded Future研究员Smilyanets指出,如果这一说法属实,这位黑客有可能仍然持有敏感医疗信息,造成额外风险。即使Change Healthcare确实向AlphV组织支付了赎金,这位黑客仍可能要求支付额外的赎金,否则将自行泄露数据。

Smilyanets说:“相关黑客仍然拥有这些数据,他们因为没有收到这笔钱感到愤怒。这给了我们每个人一个很好的教训。不能信任犯罪分子,他们的话一文不值。”

Emsisoft公司勒索软件专家Callow认为,就勒索软件赎金而言,2200万美元意味着AlphV组织获取了极为丰厚的利润。在勒索软件历史上,只有很少的几笔赎金达到如此规模,比如金融公司CNA向被称为Evil Corp黑客支付的4000万美元。这并非没有先例,但确实非常罕见。”

AlphV组织有着极为恶劣的前科

无论Change Healthcare究竟有没有赎金,这次攻击都表明AlphV组织已经令人不安地复出。

在去年12月,FBI对AlphV组织展开行动,查封了他们的暗网网站,并发布了解密密钥,导致这家组织未能成功攻击数百个受害者。但是,仅仅两个月后,AlphV组织就对Change Healthcare发动网络攻击。攻击不仅瘫痪了Change Healthcare,还引发停机事件,对药店和患者产生严重影响,影响已经远远超过了一个星期。截至上周二,AlphV组织在其用来勒索受害者的暗网网站上列出了28家公司,其中并不包括Change Healthcare。

AlphV暗网网站现在已经下线。截至本周二上午,网站显示的内容似乎是执法查封通知。但安全研究员Fabian Wosar指出,这份通知似乎是从AlphV组织上一次关闭网站时使用的通知中复制而来。目前尚不清楚这家组织消失的原因,或许是遭到另一次执法行动打击,亦或是试图躲避其欺骗的黑客。勒索软件跟踪者表示,AlphV组织曾消失并多次重组。安全研究人员指出,以BlackCat、BlackMatter、Darkside等名号反复出现的组织本质上就是AlphV组织。

其实,打着Darkside名号的黑客,曾在2021年发动过Colonial Pipeline勒索软攻击,中断了美国东海岸的燃气运输,并导致部分东海岸城市出现短暂的燃料短缺。当时,受害者也向黑客支付了赎金。Colonial的首席执行官Joseph Blount后来在美国国会听证会上说,“这是我做过的最艰难的决定。”

现在,同一批黑客可能已经迫使另一家公司做出了同样艰难的决定。

参考资料:https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。