Ransomware: US-Gesundheitsplattform soll nach AlphV-Betrug doppelt zahlen

Die Ransomware-Bande AlphV hatte einen ihrer Handlanger geneppt und sich mit 22 Millionen US-Dollar aus dem Staub gemacht. Das Opfer wird nun erneut erpresst.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Ransomware auf einem Rechner

Ransomware-Nachricht auf einem Laptop.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.

Die US-Gesundheitsplattform "Change Healthcare" und ihre Betreiberfirma, die Optum Group, sieht sich mit einem zweiten Erpressungsversuch konfrontiert. Nachdem Optum mutmaßlich eine Lösegeldzahlung von 22 Millionen US-Dollar an die Ransomware-Gruppe AlphV leistete, machten die Kriminellen sich aus dem Staub. Der Komplize der Bande, der den Angriff durchgeführt hatte, sah in die Röhre und meldet nun erneut Lösegeldansprüche an.

Der Ransomware-Angriff auf Change Healthcare schlug Ende Februar 2024 hohe Wellen: Apotheken, Versicherungen und andere Teilnehmer des US-Gesundheitswesens litten wochenlang unter Ausfällen, CISA und FBI schalteten sich ein und die Erpressten überwiesen ein achtstelliges Lösegeld an AlphV/BlackCat.

Die Bande – seit letztem Jahr unter hohem Druck seitens der Strafverfolger – witterte offenbar Morgenluft, installierte eine gefälschte Beschlagnahme-Webseite im Darknet und machte sich mit 22 Millionen US-Dollar aus dem Staub. Der für den Angriff verantwortliche AlphV-Spießgeselle, im Ransomware-Jargon "Affiliate", reagierte wenig amüsiert und erinnerte daran, dass er noch immer im Besitz der Change-Healthcare-Daten sei, die nach der Lösegeldzahlung eigentlich gelöscht sein sollten.

Zweite Lösegeldforderung eines anonymen Ex-AlphV-Affiliate an die Optum Group.

(Bild: heise security)

Jetzt verlieh der Erpresser auf der Darknet-Plattform RansomHub seiner Forderung erneut Nachdruck: Change Healthcare habe noch eine letzte Chance, die Daten zu schützen. Erreiche man keine Einigung, so werde er den vollen Datensatz von immerhin 4 TByte dem Höchstbietenden zum Verkauf anbieten. Die Daten enthalten nach Aussage des Kriminellen neben medizinischen Informationen auch Telefonnummern, Adressen und Sozialversicherungsnummern – wichtige Daten zum Identitätsklau.

Die doppelte Lösegeldforderung zeigt einmal mehr, dass Ransomware-Opfer dem Versprechen, gestohlene Daten nach einer Zahlung zu löschen, nicht trauen können. Zu viele Komplizen – allesamt Berufsverbrecher – sind mittlerweile an den stark arbeitsteilig organisierten Cyberangriffen beteiligt.

(cku)