Change Healthcare 数据被盗后，勒索集团 RansomHub 宣布出售

关键要点

RansomHub 宣布出售 Change Healthcare 在 2 月勒索攻击中被盗的数据。数据包含数十家保险供应商的信息和个人患者资料，以及 Change Healthcare 的源代码。攻击发生后，Change Healthcare 遭遇了广泛的运营中断，影响了美国各地的医院和药店。UnitedHealth Group 报告表示，Change Healthcare 攻击在上个季度已造成 872 亿美元的损失，预计到年底总成本将超过 10 亿美元。债务人应采取措施防范身份盗用和其他形式的欺诈。

Change Healthcare 在 2 月被勒索攻击后所泄露的数据，现已被勒索集团 RansomHub 宣布售卖。根据 RansomHub 的泄露网站上发布的截图，该集团声称拥有来自“数十家”保险供应商的信息，以及患者的个人资料、Change Healthcare 的源代码等。

在 RansomHub 开始泄露部分 Change Healthcare 数据后，仅隔一天，该集团便在地暗网平台上发布了出售公告，泄露的内容包括与保险公司之间的数据共享协议及患者护理费用账单。SC 媒体的研究与数据副总裁 Sean McNee 表示：“RansomHub 发布的信息令人信服，其中包括法律文件如交易合作协议、提供商的服务账单、敏感的 Medicare 索赔信息、支付信息等，数据种类繁多，显示该数据泄露并不局限于某一个或几个系统。如果更多数据被完全泄露，那对受影响的个人可能是毁灭性的。”

Change Healthcare 是 UnitedHealth Group 的子公司 Optum，2 月 21 日遭遇网络攻击，导致美国各地的医院和药房出现广泛的运营中断。此次攻击明确由 ALPHV/BlackCat 勒索集团实施，该集团随后关闭了自己的泄露网站，并与 Optum 进行了一笔 2200 万美元的勒索交易，这可能是因法律压力所致的退出骗局。

负责 Change Healthcare 攻击的附属团伙被称为“Notchy”，它在与 ALPHV/BlackCat 交手后被认为是被 RansomHub 招募，相关信息是根据 RansomHub 管理员和恶意软件资源共享组 vxunderground 管理员之间的交流而来。

RansomHub 上周一首次宣称掌控了 4TB 偷来的 Change Healthcare 数据，并给了公司大约 12 天的期限进行谈判，否则信息将出售给出价最高者。 Menlo Security 的网络安全专家 Ngoc Bui 表示：“这并不令人惊讶。我们之前在博客中已经阐明了这种情形。Notchy 被欺诈的经历使数据安全悬而未决，直到其要求得到满足。”

极光加速器免费试用

截止上周一，RansomHub 表示 Optum 只剩下五天的时间来谈判一项协议以阻止数据出售，因此周二的公告让人感到意外。Optum 对 SC 媒体表示：“我们正在与执法部门及外部专家合作，调查网上发布的声明，以了解可能受影响数据的程度。我们的调查仍在进行中。目前没有证据表明 Change Healthcare 发生了新的网络事件。”

Change Healthcare 勒索事件后续

在周二的 SEC 备案中，UnitedHealth Group 报告称 Change Healthcare 攻击在上个季度已造成公司 872 亿美元的损失，预计到年底总费用将超过 10 亿美元。公司尚未确认是否支付了报告中的 2200 万美元赎金，虽然区块链交易记录似乎支持此笔交易确实已发生。在回应 SC 媒体的询问时，Optum 拒绝对此事务做出回应。

Semperis 的安全研究主任 Yossi Rachman 表示：“一些组织错误地认为，只要向某个团体支付赎金，他们就会免受后续攻击。其他组织在出现在头条新闻的那一刻就会变得更具吸引力。因此，组织在短时间内再次受到重大打击是相当普遍的。”

同样在周二，美国众议院能源和商业委员会的健康小组举行了一次关于“审查 Change Healthcare 攻击后健康领域安全性的听证会”。证人包括 CrowdStrike 的公共政策与战略高级主任 Robert Sheldon，以及健康组织的主任和一名骨科医生。在听