惊天勒索案！美国处方药市场中断超10天，受害企业疑支付1.5亿赎金后又被骗

前情回顾·医疗行业网络威胁态势

• 美国医疗支付关键供应商被黑瘫痪，全国众多药店无法处理处方

• 网络攻击扰乱美国多州医院和医疗保健系统

• 专业医疗厂商被黑，心脏监测服务瘫痪数天

• 国际医疗IT巨头遭网络攻击，被迫关闭所有信息系统

安全内参3月6日消息，针对美国医疗IT公司Change Healthcare的勒索软件攻击是近年来最具破坏性的一次。这次攻击使得美国各地药店陷入瘫痪，就连医院内部药店也未能幸免，并对美国境内的处方药供应造成了严重困扰，已经持续了超过10天。

这场灾难性事件仍在不断发展，黑客组织内部的纷争揭示了最新的进展：攻击者背后的一个合作伙伴指出，发动攻击的AlphV或BlackCat黑客组织收到了一笔疑似赎金的巨额款项，金额高达2200万美元（约合人民币1.58亿元）。

勒索组织已收到超1.5亿元赎金

3月1日，与AlphV组织相关联的一个比特币地址收到了一笔交易，单笔交易金额达到了350比特币。按照当时的汇率，这笔金额接近2200万美元。两天后，一名自称隶属于AlphV组织、曾与该组织合作侵入受害者网络的黑客，在地下论坛RAMP上发布了帖子，声称AlphV组织欺骗了他们，未按约支付在Change Healthcare勒索事件中应得的份额。该黑客引用了比特币区块链上公开可见的2200万美元交易作为证据。

威胁情报公司Recorded Future研究员Dmitry Smilyanets首先注意到这篇帖子。他认为，Change Healthcare很可能向AlphV组织支付了赎金。Smilyanets说：“有很多比特币进入了账户，这种交易十分罕见。有证据表明，大量资金流入了AlphV组织控制的比特币钱包。而相关黑客将这个地址与对Change Healthcare的攻击联系在一起。因此，受害者很可能已经支付了赎金。”

美国联合健康集团旗下Change Healthcare公司发言人在接受采访时，拒绝回答是否向AlphV组织支付了赎金，仅回复称“我们现在专注于调查。”

Recorded Future和区块链分析公司TRM Labs都认为，接收到2200万美元款项的比特币地址与AlphV组织黑客有联系。TRM Labs表示，这个地址与1月的另外两个AlphV组织受害者的付款也有关联。

安全公司Emsisoft的勒索软件专家Brett Callow认为，如果Change Healthcare确实支付了2200万美元赎金，这不仅代表AlphV组织获得了巨额收入，也为医疗保健行业树立了危险的先例。他说，每一笔勒索软件赎金都会被黑客组织用来资助未来攻击，这也向其他勒索软件捕食者暗示他们应该尝试相同的策略——比如像这次事件一样，攻击患者依赖的医疗保健服务。

Callow表示：“如果Change确实付了赎金，会带来很多问题。这说明攻击医疗保健行业可以获得丰厚的利润。勒索软件团伙的行为很容易预测：一旦他们发现某个特定行业非常有利可图，他们将会发起一次又一次的攻击，反复如此。”

附属团队指责AlphV卷钱跑路，

受害企业数据仍处危险中

一名自称隶属于AlphV组织的黑客在RAMP论坛上发布了支付证据，并以用户名“notchy”抱怨说，AlphV组织显然从Change Healthcare那里收取了2200万美元赎金，然后将整笔款项私吞，而不是按照约定与黑客合作伙伴分享利润。notchy写道，“大家要小心，不要再与ALPHV组织打交道了。”

这位黑客还写道，在他们侵入Change Healthcare网络的过程中，他们已经访问了与该公司合作的众多其他医疗保健公司的数据。Recorded Future研究员Smilyanets指出，如果这一说法属实，这位黑客有可能仍然持有敏感医疗信息，造成额外风险。即使Change Healthcare确实向AlphV组织支付了赎金，这位黑客仍可能要求支付额外的赎金，否则将自行泄露数据。

Smilyanets说：“相关黑客仍然拥有这些数据，他们因为没有收到这笔钱感到愤怒。这给了我们每个人一个很好的教训。不能信任犯罪分子，他们的话一文不值。”

Emsisoft公司勒索软件专家Callow认为，就勒索软件赎金而言，2200万美元意味着AlphV组织获取了极为丰厚的利润。在勒索软件历史上，只有很少的几笔赎金达到如此规模，比如金融公司CNA向被称为Evil Corp黑客支付的4000万美元。这并非没有先例，但确实非常罕见。”

AlphV组织有着极为恶劣的前科

无论Change Healthcare究竟有没有赎金，这次攻击都表明AlphV组织已经令人不安地复出。

在去年12月，FBI对AlphV组织展开行动，查封了他们的暗网网站，并发布了解密密钥，导致这家组织未能成功攻击数百个受害者。但是，仅仅两个月后，AlphV组织就对Change Healthcare发动网络攻击。攻击不仅瘫痪了Change Healthcare，还引发停机事件，对药店和患者产生严重影响，影响已经远远超过了一个星期。截至上周二，AlphV组织在其用来勒索受害者的暗网网站上列出了28家公司，其中并不包括Change Healthcare。

AlphV暗网网站现在已经下线。截至本周二上午，网站显示的内容似乎是执法查封通知。但安全研究员Fabian Wosar指出，这份通知似乎是从AlphV组织上一次关闭网站时使用的通知中复制而来。目前尚不清楚这家组织消失的原因，或许是遭到另一次执法行动打击，亦或是试图躲避其欺骗的黑客。勒索软件跟踪者表示，AlphV组织曾消失并多次重组。安全研究人员指出，以BlackCat、BlackMatter、Darkside等名号反复出现的组织本质上就是AlphV组织。

其实，打着Darkside名号的黑客，曾在2021年发动过Colonial Pipeline勒索软攻击，中断了美国东海岸的燃气运输，并导致部分东海岸城市出现短暂的燃料短缺。当时，受害者也向黑客支付了赎金。Colonial的首席执行官Joseph Blount后来在美国国会听证会上说，“这是我做过的最艰难的决定。”

现在，同一批黑客可能已经迫使另一家公司做出了同样艰难的决定。

参考资料：https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。