Σήμερα, το FBI, η CISA και το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών (HHS) προειδοποίησαν τους οργανισμούς υγειονομικής περίθαλψης των ΗΠΑ για στοχευμένες επιθέσεις ransomware ALPHV/Blackcat.
«Οι θυγατρικές της ALPHV Blackcat έχουν παρατηρηθεί ότι στοχεύουν κυρίως στον τομέα της υγειονομικής περίθαλψης», η κοινή συμβουλευτική
προειδοποιεί
.
Η σημερινή προειδοποίηση ακολουθεί μια ειδοποίηση flash του FBI του Απριλίου 2022 και μια άλλη συμβουλευτική που εκδόθηκε τον Δεκέμβριο του 2023 που περιγράφει λεπτομερώς τη δραστηριότητα της συμμορίας κυβερνοεγκλήματος BlackCat από τότε που εμφανίστηκε τον Νοέμβριο του 2021 ως ύποπτη αλλαγή επωνυμίας των ομάδων ransomware DarkSide και BlackMatter.
Το FBI συνέδεσε τη BlackCat με περισσότερες από 60 παραβιάσεις κατά τους πρώτους τέσσερις μήνες της δραστηριότητάς της (μεταξύ Νοεμβρίου 2021 και Μαρτίου 2022) και είπε ότι η συμμορία έχει συγκεντρώσει τουλάχιστον 300 εκατομμύρια δολάρια σε λύτρα από περισσότερα από 1.000 θύματα μέχρι τον Σεπτέμβριο του 2023.
«Από τα μέσα Δεκεμβρίου 2023, από τα σχεδόν 70 θύματα που διέρρευσαν, ο τομέας της υγειονομικής περίθαλψης είναι ο πιο συχνά θύματα», προειδοποίησαν οι τρεις ομοσπονδιακές υπηρεσίες.
η σημερινή κοινή διαβούλευση
.
“Αυτό είναι πιθανόν ως απάντηση στην ανάρτηση του διαχειριστή της ALPHV Blackcat που ενθαρρύνει τις θυγατρικές της να στοχεύουν νοσοκομεία μετά από επιχειρησιακή δράση εναντίον του ομίλου και των υποδομών του στις αρχές Δεκεμβρίου 2023.”
Το FBI, η CISA και το HHS συμβούλεψαν τους οργανισμούς υποδομής ζωτικής σημασίας να λάβουν τα απαραίτητα μέτρα μετριασμού για να ελαχιστοποιήσουν την πιθανότητα και τον αντίκτυπο του Blackcat ransomware και περιστατικών εκβιασμού δεδομένων.
Επιπλέον, έχουν προτρέψει τους οργανισμούς υγειονομικής περίθαλψης να εφαρμόσουν
διασφαλίσεις κυβερνοασφάλειας
για την αντιμετώπιση των διαδεδομένων τακτικών, τεχνικών και διαδικασιών που χρησιμοποιούνται συνήθως στον τομέα της Υγείας και της Δημόσιας Υγείας (HPH).
Το BlackCat χρησιμοποιεί τώρα το ScreenConnect για αρχική πρόσβαση
Η σημερινή συμβουλή έρχεται μετά τη σύνδεση της επιχείρησης ransomware BlackCat με μια κυβερνοεπίθεση στη θυγατρική Optum της UnitedHealth Group που προκάλεσε μια συνεχή διακοπή που επηρεάζει την Change
Healthcare
, τη μεγαλύτερη πλατφόρμα ανταλλαγής πληρωμών που συνδέει γιατρούς, φαρμακεία, παρόχους υγειονομικής περίθαλψης και
ασθενείς
στο σύστημα υγειονομικής περίθαλψης των ΗΠΑ.
Ενώ ο αντιπρόεδρος της UnitedHealth Group, Tyler Mason δεν επιβεβαίωσε τη σύνδεση BlackCat σε μια δήλωση που κοινοποιήθηκε στο BleepingComputer, είπε ότι το 90% από τα 70.000+ φαρμακεία που χρησιμοποιούν την επηρεαζόμενη πλατφόρμα έχουν μεταβεί σε νέες διαδικασίες ηλεκτρονικής αξίωσης.
Πηγές που γνωρίζουν την έρευνα είπαν στο BleepingComputer ότι η Change Healthcare πραγματοποιεί κλήσεις Zoom με συνεργάτες στον κλάδο της υγειονομικής περίθαλψης για να παρέχει ενημερώσεις από τότε που η επίθεση έπληξε τα συστήματά της.
Η BleepingComputer έμαθε ότι η επίθεση είχε συνδεθεί με την ομάδα ransomware BlackCat από ιατροδικαστές που ερευνούσαν το περιστατικό και ότι οι παράγοντες της απειλής παραβίασαν το δίκτυο χρησιμοποιώντας την ενεργά εκμεταλλευόμενη κρίσιμη ευπάθεια παράκαμψης ελέγχου ScreenConnect (CVE-2024-1709).
Παρόλο που το FBI, η CISA και το HHS δεν συνέδεσαν τη σημερινή συμβουλή με το περιστατικό Change Healthcare, μοιράστηκαν δείκτες συμβιβασμού που επιβεβαιώνουν την αναφορά μας ότι η συμμορία ransomware BlackCat στοχεύει ευάλωτους διακομιστές ScreenConnect για απομακρυσμένη πρόσβαση σε δίκτυα θυμάτων.
BlackCat ScreenConnect IOC (FBI/CISA/HHS)
Το FBI διέκοψε τις
επιχειρήσεις
της συμμορίας BlackCat τον Δεκέμβριο, καταργώντας τις τοποθεσίες διαπραγμάτευσης και
διαρροή
ς Tor. Οι διακομιστές της συμμορίας παραβιάστηκαν επίσης, γεγονός που επέτρεψε στις αρχές επιβολής του νόμου να δημιουργήσουν έναν απο
κρυπτο
γραφητή χρησιμοποιώντας συλλεγμένα κλειδιά κατά τη διάρκεια μιας πολύμηνης εισβολής.
Έκτοτε, η BlackCat «αποκατάσχεσε» τους ιστότοπούς της και άλλαξε σε μια νέα τοποθεσία διαρροής Tor που το FBI δεν έχει ακόμη καταργήσει.
Το Υπουργείο Εξωτερικών των ΗΠΑ προσφέρει ανταμοιβές έως και 10 εκατομμυρίων δολαρίων για λεπτομέρειες που οδηγούν στον εντοπισμό ή την τοποθεσία των αρχηγών συμμοριών BlackCat και 5 εκατομμύρια δολάρια για συμβουλές σε άτομα που συνδέονται με επιθέσεις ransomware της ομάδας.
VIA:
bleepingcomputer.com
