UnitedHealth、データリーク阻止のためランサムウェアグループに身代金支払ったと認める
(情報源:BleepingComputer – April 23, 2024)
2月に起きた子会社Optumへのランサムウェア攻撃でデータを盗まれていたUnitedHealth Group社が、ランサムウェアグループへ身代金を支払ったことを認めたとの報道。同社はBlackCat/ALPHVとRansomHubの2組から恐喝を受けていたが、今回確認されたのはRansomHubへの支払いの方である可能性が指摘されている。
Optumへのランサムウェア攻撃:2月
Optum(UnitedHealth)へのランサムウェア攻撃は、当時BlackCat/ALPHVのアフィリエイトだったアクター「Notchy」によって行われたとされる。攻撃の結果、同社が運営する医療プラットフォーム「Change Healthcare」での決済に障害が生じ、米国全土の医院や薬局の業務に支障が出た。BlackCatはその後、同社をリークサイトに掲載。機微な患者データ6TB分を盗んだと主張し、身代金の支払いを要求した。
BlackCat/ALPHVによる出口詐欺:3月初め
BlackCatから脅迫を受けたUnitedHealthは、同グループに2,200万ドルの身代金を支払ったと報じられている。BlackCatのようなRaaSグループは通常、運営側とアフィリエイトとの間で身代金を分け合う方式を採用しているが、NotchyによればBlackCat運営は同アクターに分け前を与えず、2,200万ドル全額を持ち逃げするという出口詐欺を決行したという。なお、この額の暗号資産が実際にBlackCatのウォレットへ届いていたことは、研究者らによって確認されている。
RansomHubグループが再びUnitedHealthを恐喝:4月初め〜中旬
出口詐欺被害に遭ったNotchyは、盗んだデータ6TBを携えて別のグループRansomHubへ鞍替えしたものとみられ、その結果UnitedHealthはまたしても恐喝を受けることに。RansomHubは、攻撃で盗まれたデータを保有しているのは「ALPHVではなく自分たち」だと主張し、データの一部を実際にリークし始めるなどして、身代金を支払うよう同社に圧力をかけた。
Change Healthcare(米国企業Optumが運営する医療系プラットフォーム)が、数時間前にRansomHubランサムウェアグループのサイトに掲載されたという。Change…
— Machina Record (@MachinaRecord) April 8, 2024
UnitedHealthが身代金を支払ったと認める:4月下旬
BleepingComputerに共有された声明文の中で、同社は患者のデータが他のサイバー犯罪者に売り渡されたり、公にリークされたりするのを防ぐために身代金を支払ったことを認めたという。その後BleepingComputerは、RansomHubのリークサイトの被害者リストからUnitedHealthが削除されているのを確認している。このことから、同社が認めた支払いとは、BlackCatに対する2,200万ドルの支払いではなく、RansomHubへの支払いの方である可能性が示されている。つまり、出口詐欺とアフィリエイトの鞍替えにより、UnitedHealthは二重に身代金を支払う羽目になった可能性が高い。
「米国民のかなりの割合」に影響か
なおUnitedHealthは22日(現地時間)にWebサイトを更新し、2月のランサムウェア攻撃に伴うデータ侵害インシデントについて公に認めた。同社の声明によれば、盗まれたデータには保護対象保健情報(PHI)と個人を識別できる情報(PII)が含まれ、これらのデータは「米国のかなりの割合の人々」に関するものである恐れがあるという。ただ、ダークウェブにリークされたのは、一部のPIIを含むスクリーンショット22枚のみであり、それ以外の盗難データは現時点で公開されていないとされる。被害組織への個別の通知は、調査が完了次第送付される予定とのこと。