A történet előzménye, hogy az ALPHV/BlackCat bűnözői kör egy alvállalkozói csoportja megtámadta a Change Healthcare rendszereit, ahol a zsarolóvírus-fertőzés gyógyszertárak és kórházak ezreit zavarta meg szerte az Egyesült Államokban, és mellesleg 6TB bizalmas adat ellopása is nehezítette az egészségügyi szervezet helyzetét.
A UnitedHealth a támadást elismerte, a 6TB lopott adattal kapcsolatban viszont úgy nyilatkoztak, ezt még vizsgálják.
Az USA területén több, mint 70 ezer gyógyszertár használja a szoftvereiket a receptek és betegbiztosítási igények feldolgozásában. Az elkövető orosz ALPHV/BlackCat banda pedig már ki is tette az oldalára az erről szóló bejelentést.
Ám az igazi fordulatok még csak itt kezdődnek, ami előtt még két apró adalékot említsünk meg. Az egyik a SickKids gyermekrák kórház 2022-es esete, ahol a LockBit úgy ítélte meg, etikátlanul jártak el a saját alvállalkozói, így nyilvánosan is elnézést kértek, a kórháznak ingyenes helyreállító kulcsot adtak, valamint kizárták a szerintük etikátlan érintett alvállalkozó partnerüket.
A másik előzmény pedig éppen az alvállalkozói bevételek frontális lenyúlása a ransomware csoport vezetősége által. Ahol derült ki, hogy Revil csapat nem elégedett meg a normál előre megállállapodott mértékű százalékos részesedéssel a váltságdíjakból, hanem titokban elhelyeztek a programjukban egy olyan hátsóajtót, ahol a folyamatban lévő ransomware tárgyalásokat is figyelemmel kísérhették.
És ha nagy váltságdíjjal kecsegtetett valahol egy üzlet, ők maguk közvetlenül felvették a kapcsolatot az áldozatokkal, és ők kasszírozták be a feloldó kulcsért járó összeget kizárva így saját bérlőiket.
Innen dobbantunk akkor a mostani hírre, ami azzal kezdődött, hogy hivatalosan meg nem erősítette információk szerint március 1-én a UnitedHealth 22 millió dollár összegű váltságdíjat fizetett ki az adataik visszaszerzéséért és a lopott adatok nyilvánossá tételének megakadályozásáért.
Ezt az értesülést ugyan sem a bűnözők, sem az egészségügyi intézmény nem kommentálta, ám az eset egy váratlan további csavart is a felszínre hozott.
Úgy tűnik ugyanis, hogy a váltságdíjat bezsákoló affiliate partnert március 5-én az ALPHV/BlackCat vezetősége felfüggesztette. A kapcsolt vállalkozás bejegyzése szerint emellett a számlájukat is leürítették, azaz az ott tárolt teljes összeget elvették tőlük.
Az alvállalkozó közben az állítja, hogy 4 TB "kritikus adat" még mindig a rendelkezésükre áll a UnitedHealth és beszállítói köréből. Az egészségügyi intézmény most attól tart, hogy bár fizettek a zsarolóknak, a belső torzsalkodás miatt mégis nyilvánosságra kerülhetnek az ellopott adatok.
Éppen a fenti aggályok miatt sajnos egyelőre nem mondhatjuk, hogy ebben a játszmában minden pofon jó helyre megy.
Irónia az a hely, ahol az irónok laknak - szól a közkeletű mondás :) Mindenesetre irónikus módon a ransomware üzletágban tevékenykedő leányvállalatok is kiadták a saját belső figyelmeztetésüket az ALPHV csoporttal kapcsolatban, miszerint: Legyen mindenki nagyon óvatos, és senki ne üzleteljen a megbízhatatlan ALPHV bandával.
