Change Healthcare, una subsidiaria de UnitedHealth Group, se ha enfrentado a una nueva extorsión por parte de ciberdelincuentes apenas un mes después de pagar un rescate para evitar la divulgación de datos robados en un ataque de ransomware de febrero de 2024. El ataque, orquestado por la banda de ransomware ALPHV/BlackCat, interrumpió gravemente las operaciones de atención médica en todo Estados Unidos y comprometió más de 4 TB de datos confidenciales, incluidos registros personales y financieros. Tras el ataque, el grupo BlackCat se atribuyó la responsabilidad, pero luego anunció su cierre tras ser allanado por el FBI. Sin embargo, surgieron sospechas cuando no compartieron un pago de rescate de 22 millones de dólares supuestamente realizado por UnitedHealth Group. Ahora, ha surgido un nuevo grupo de ransomware, RansomHub, que amenaza con exponer los datos robados a menos que se pague otro rescate. RansomHub, que surgió en febrero de 2024, cuenta con antiguos afiliados de BlackCat entre sus filas, lo que podría explicar cómo adquirieron los datos de Change Healthcare. Lea más sobre esta infracción: El gobierno de EE. UU. investigará el ataque de ransomware a Change Healthcare Según una publicación de blog en la web oscura descubierta por el analista de ciberseguridad Dominic Alvieri el lunes, RansomHub opera con un modelo de ransomware como servicio (RaaS). El grupo también permite a los afiliados retener el 90% de los ingresos del rescate, abordando las preocupaciones planteadas por la estafa de salida de BlackCat. Si bien se especula sobre la conexión de RansomHub con BlackCat, SOCRadar sugiere que pueden ser entidades distintas, y que la aparición de RansomHub es anterior a la estafa de salida. «No está claro si RansomHub es un cambio de marca del grupo de ransomware ALPHV, si el afiliado de ALPHV se está mudando a RansomHub, o si se trata de una estafa del grupo de ransomware RansomHub que intenta intimidar a Change Healthcare para que pague nuevamente», señaló Ngoc Bui, un experto en ciberseguridad en Menlo Security. De todos modos, el resurgimiento de la extorsión pone de relieve los riesgos que enfrentan las víctimas de ransomware. «Cuando los grupos de ransomware determinan que una organización está dispuesta a pagar un rescate, puede dar lugar a esquemas de doble extorsión», explicó el director ejecutivo de Keeper Security, Darren Guccione. “También es importante señalar que, en muchos casos, el pago de un rescate no garantiza que el ciberdelincuente descifre los archivos de la víctima ni restablezca el acceso a sus sistemas. Son criminales y, como tales, no se puede confiar en ellos”. El intento de doble extorsión se produce semanas después de que el grupo de ransomware Play filtrara datos confidenciales del gobierno federal suizo. Crédito de la imagen: T. Schneider/Shutterstock.com