Οι επιθέσεις ransomware στην υγειονομική περίθαλψη τους τελευταίους μήνες ήταν ανελέητες, με πολυάριθμες επιχειρήσεις ransomware που στοχεύουν νοσοκομεία και ιατρικές υπηρεσίες, προκαλώντας διαταραχές στη φροντίδα των ασθενών και στην πρόσβαση σε συνταγογραφούμενα φάρμακα στις ΗΠΑ.
Η πιο επιδραστική επίθεση του 2024 μέχρι στιγμής είναι η επίθεση στη θυγατρική Change Healthcare της UnitedHealth Group, η οποία είχε σημαντικές συνέπειες για το σύστημα υγειονομικής περίθαλψης των ΗΠΑ. Αυτή η επίθεση συνδέθηκε αργότερα με τη λειτουργία ransomware BlackCat, με την UnitedHealth να επιβεβαιώνει επίσης ότι η ομάδα βρισκόταν πίσω από την επίθεση.
Η Change Healthcare είναι μια υπηρεσία ανταλλαγής ηλεκτρονικών πληρωμών που χρησιμοποιείται από γιατρούς, φαρμακοποιούς και νοσοκομεία για την υποβολή αξιώσεων χρέωσης στο σύστημα υγειονομικής περίθαλψης των ΗΠΑ.
Η επίθεση έχει προκαλέσει σημαντικές διακοπές στις υπηρεσίες της Change Healthcare, επηρεάζοντας σημαντικά τα φαρμακεία που δεν μπορούν να χρεώσουν τους πελάτες που παραλαμβάνουν συνταγογραφούμενα φάρμακα.
Αυτή η διαταραχή έχει πέσει στους ασθενείς, οι οποίοι, σε ορισμένες περιπτώσεις, αναγκάζονται να πληρώσουν ολόκληρο το τίμημα για τα φάρμακά τους μέχρι να επιλυθεί το πρόβλημα. Ωστόσο, ορισμένα φάρμακα μπορεί να κοστίζουν χιλιάδες δολάρια, γεγονός που καθιστά δύσκολο για πολλούς να αντέξουν οικονομικά τις πληρωμές.
Για να κάνει τα πράγματα χειρότερα, η επιχείρηση ransomware BlackCat, γνωστή και ως ALPHV, ισχυρίζεται ότι έχει κλέψει 6 TB δεδομένων από την Change Healthcare κατά τη διάρκεια της επίθεσης, τα οποία περιέχουν προσωπικές πληροφορίες εκατομμυρίων ανθρώπων.
Η επίθεση οδήγησε το FBI, την CISA και το HHS να εκδώσουν κοινή συμβουλευτική προειδοποίηση για επιθέσεις BlackCat σε νοσοκομεία.
“Η κυβερνοεπίθεση κατά της Change Healthcare που ξεκίνησε στις 21 Φεβρουαρίου είναι το πιο σοβαρό περιστατικό αυτού του είδους που σημειώθηκε εναντίον αμερικανικού οργανισμού υγειονομικής περίθαλψης.”
προειδοποίησε ο Ρικ Πόλακ
Πρόεδρος και Διευθύνων Σύμβουλος, American Hospital Association (AHA).
«Θα συνεχίσουμε τις συζητήσεις με την UnitedHealth Group και την ομοσπονδιακή κυβέρνηση σχετικά με αυτές τις προσπάθειες, καθώς μια παρατεταμένη διακοπή των συστημάτων της Change Healthcare θα μπορούσε να σημαίνει ότι ορισμένα νοσοκομεία και συστήματα υγείας ενδέχεται να μην μπορούν να πληρώσουν μισθούς για κλινικούς ιατρούς και άλλα μέλη της ομάδας φροντίδας, να αποκτήσουν τα απαραίτητα φάρμακα και προμήθειες και πληρώνουν για κρίσιμες συμβάσεις αποστολής σε τομείς όπως η φυσική ασφάλεια, η διατροφή και οι περιβαλλοντικές υπηρεσίες». – Ο Rick Pollack της AHA.
Μια άλλη επιχείρηση ransomware γνωστή ως Rhysida, επίσης γνωστή για τις επιθέσεις της στην υγειονομική περίθαλψη, έχει πέσει σε νέο χαμηλό προσπαθώντας να πουλήσει τα κλεμμένα δεδομένα ασθενών από το Lurie Children’s Hospital στο Σικάγο.
Ένα άλλο ransomware γνωστό για τη στόχευση της υγειονομικής περίθαλψης είναι το Lockbit, το οποίο επλήγη με μια επιχείρηση επιβολής του νόμου την περασμένη εβδομάδα που ονομάζεται Operation Cronos, η οποία επέτρεψε στις αρχές επιβολής του νόμου να κατάσχουν διακομιστές, δεδομένα και αποκρυπτογραφητές.
Ωστόσο, το LockBit επέστρεψε με νέες υποδομές και διακομιστές, υποσχόμενος να αυξήσει την ασφάλεια και να αποτρέψει ξανά μια τέτοια μαζική κατάργηση.
Δυστυχώς, το BleepingComputer έχει ήδη δει σημάδια ότι ορισμένες θυγατρικές πραγματοποιούν ενεργά επιθέσεις, αλλά φαίνεται να είναι σε μειωμένη χωρητικότητα σε σύγκριση με πριν από την επιχείρηση επιβολής του νόμου.
Ακόμη και πάλι, πολλοί πιστεύουν ότι το LockBit θα κλείσει σύντομα αφού αμαυρωθεί η φήμη του και χάσει την εμπιστοσύνη του στην κοινότητα του εγκλήματος στον κυβερνοχώρο.
Σε άλλες ειδήσεις, μια ομάδα εκβιαστών που ονομάζεται Mogilevich ισχυρίζεται ότι παραβίασε την Epic Games και έκλεψε 189 GB δεδομένων, συμπεριλαμβανομένου του πηγαίου κώδικα. Ωστόσο, η Epic Games είπε στο BleepingComputer ότι δεν υπάρχουν “μηδενικά στοιχεία” ότι παραβιάστηκαν σε μια επίθεση.
Τέλος, περισσότερες συμμορίες ransomware έχουν πηδήξει στο τρένο εκμετάλλευσης ευπάθειας του ScreenConnect RCE, συμπεριλαμβανομένων των Black Basta και της συμμορίας ransomware Bl00dy.
Οι συνεισφέροντες και εκείνοι που παρείχαν νέες πληροφορίες και ιστορίες ransomware αυτήν την εβδομάδα περιλαμβάνουν:
@demonslay335
,
@Ionut_Ilascu
,
@Seifreed
,
@serghei
,
@fwosar
,
@BleepinComputer
,
@malwrhunterteam
,
@billtoulas
,
@LawrenceAbrams
,
@Threatlabz
,
@DarkWebInformer
,
@CISAgov
,
@TrendMicro
,
@Shadowserver
,
@a_greenberg
,
@BrettCallow
,
@Jon__DiMaggio
,
@CrowdStrike
,
@H4ckManac
,
@RobWright22
,
@ValeryMarchive
και
@pcrisk
25 Φεβρουαρίου 2024
Το LockBit ransomware επιστρέφει, επαναφέρει τους διακομιστές μετά από διακοπή της αστυνομίας
Η συμμορία LockBit επανεκκινεί τη λειτουργία της ransomware σε μια νέα υποδομή λιγότερο από μία εβδομάδα αφότου οι αρχές επιβολής του νόμου χάκαραν τους διακομιστές τους και απειλεί να επικεντρώσει περισσότερες επιθέσεις στον κυβερνητικό τομέα.
26 Φεβρουαρίου 2024
Το hack της θυγατρικής της UnitedHealth, Optum, συνδέεται με ransomware BlackCat
Μια κυβερνοεπίθεση στη θυγατρική Optum της UnitedHealth Group που οδήγησε σε συνεχή διακοπή λειτουργίας που επηρεάζει την πλατφόρμα ανταλλαγής πληρωμών Change Healthcare συνδέθηκε με την ομάδα ransomware BlackCat από πηγές που είναι εξοικειωμένες με την έρευνα.
Ransomware Roundup – Abyss Locker
Αυτή η έκδοση του Ransomware Roundup καλύπτει το Abyss Locker (AbyssLocker) ransomware.
27 Φεβρουαρίου 2024
Το FBI και η CISA προειδοποιούν τα νοσοκομεία των ΗΠΑ για στοχευμένες επιθέσεις ransomware BlackCat
Σήμερα, το FBI, η CISA και το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών (HHS) προειδοποίησαν τους οργανισμούς υγειονομικής περίθαλψης των ΗΠΑ για στοχευμένες επιθέσεις ransomware ALPHV/Blackcat.
Black Basta, συμμορίες ransomware Bl00dy συμμετέχουν στις επιθέσεις ScreenConnect
Οι συμμορίες ransomware Black Basta και Bl00dy έχουν ενταχθεί σε εκτεταμένες επιθέσεις που στοχεύουν διακομιστές ScreenConnect χωρίς επιδιόρθωση έναντι μιας ευπάθειας παράκαμψης ελέγχου ταυτότητας μέγιστης σοβαρότητας.
Το Hessen Consumer Center λέει ότι τα συστήματα είναι κρυπτογραφημένα από ransomware
Το Κέντρο Καταναλωτών της Έσσης στη Γερμανία δέχτηκε επίθεση με ransomware, με αποτέλεσμα τα συστήματα IT να τερματιστούν και να διαταραχθεί προσωρινά η διαθεσιμότητά του.
Νέα παραλλαγή ransomware Mallox
PCrisk
βρήκε μια νέα παραλλαγή ransomware Mallox που προσαρτά το
.ma1x0
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
ΠΩΣ ΝΑ ΑΠΟΚΤΗΣΕΤΕ ΤΟ FILES.txt
.
28 Φεβρουαρίου 2024
Epic Games: «Μηδενικά στοιχεία» μας χακάρισε η συμμορία Mogilevich
Η Epic Games είπε ότι δεν βρήκαν αποδεικτικά στοιχεία κυβερνοεπίθεσης ή κλοπής δεδομένων, αφού η ομάδα εκβιαστών Mogilevich ισχυρίστηκε ότι είχε παραβιάσει τους διακομιστές της εταιρείας.
Το LockBit ransomware επιστρέφει σε επιθέσεις με νέους κρυπτογραφητές, διακομιστές
Η συμμορία ransomware LockBit διεξάγει και πάλι επιθέσεις, χρησιμοποιώντας ενημερωμένους κρυπτογραφητές με σημειώσεις λύτρων που συνδέονται με νέους διακομιστές μετά τη διακοπή της επιβολής του νόμου την περασμένη εβδομάδα.
Η συμμορία ransomware ισχυρίζεται ότι έκλεψε 6 TB δεδομένων Change Healthcare
Η συμμορία ransomware BlackCat/ALPHV ανέλαβε επίσημα την ευθύνη για μια κυβερνοεπίθεση στην Optum, θυγατρική της UnitedHealth Group (UHG), η οποία οδήγησε σε μια συνεχή διακοπή λειτουργίας που επηρεάζει την πλατφόρμα Change Healthcare.
Το Rhysida ransomware θέλει 3,6 εκατομμύρια δολάρια για κλεμμένα δεδομένα παιδιών
Η συμμορία ransomware Rhysida έχει αναλάβει την κυβερνοεπίθεση στο Lurie Children’s Hospital στο Σικάγο στις αρχές του μήνα.
29 Φεβρουαρίου 2024
StopRansomware: Phobos Ransomware
Το Ομοσπονδιακό Γραφείο Ερευνών (FBI), η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) και το Πολυπολιτειακό Κέντρο Ανταλλαγής και Ανάλυσης Πληροφοριών (MS-ISAC) απελευθερώνουν αυτήν την κοινή CSA, για τη διάδοση γνωστών TTP και IOC που σχετίζονται με το Phobos Παραλλαγές ransomware που παρατηρήθηκαν μόλις τον Φεβρουάριο του 2024, σύμφωνα με αναφορές ανοιχτού κώδικα. Το Phobos είναι δομημένο ως μοντέλο ransomware-as-a-service (RaaS). Από τον Μάιο του 2019, περιστατικά ransomware Phobos που επηρεάζουν τις κυβερνήσεις πολιτειών, τοπικών, φυλών και εδαφών (SLTT) αναφέρονται τακτικά στο MS-ISAC. Αυτά τα περιστατικά στόχευαν δημοτικές και νομαρχιακές κυβερνήσεις, υπηρεσίες έκτακτης ανάγκης, εκπαίδευση, δημόσια υγειονομική περίθαλψη και άλλες ζωτικής σημασίας οντότητες υποδομής για να εξαγοράσουν με επιτυχία πολλά εκατομμύρια δολάρια ΗΠΑ
Διαρροή Ransomware The Mysterious Case of the Missing Trump Trial Ransomware
Αυτή την εβδομάδα, το περιβόητο
ransomware
συμμορία γνωστή ως
LockBit
απείλησε ένα είδος αναστάτωσης που θα ήταν η πρώτη ακόμη και για μια εγκληματική βιομηχανία που έχει ακρωτηριάσει νοσοκομεία και προκάλεσε το κλείσιμο ενός αγωγού φυσικού αερίου: διαρροή εγγράφων από την ποινική δίωξη ενός πρώην προέδρου και υποψηφίου προέδρου.
Στη συνέχεια, χωρίς εξήγηση, αυτή η απειλή εξατμίστηκε, αφήνοντας πίσω της πολλά αναπάντητα ερωτήματα.
Νέο Frea Ransomware
Το PCrisk βρήκε ένα νέο ransomware που προσαρτά το
.frea
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
oku.txt
.
1 Μαρτίου 2024
Η Ανατομία μιας Επίθεσης Ransomware ALPHA SPIDER
Το Alphv ransomware-as-a-service, το οποίο πρωτοεμφανίστηκε τον Δεκέμβριο του 2021, είναι αξιοσημείωτο ως το πρώτο γραμμένο στη γλώσσα προγραμματισμού Rust. Το Alphv RaaS προσφέρει μια σειρά από χαρακτηριστικά που έχουν σχεδιαστεί για να προσελκύουν εξελιγμένες θυγατρικές, συμπεριλαμβανομένων παραλλαγών ransomware που στοχεύουν πολλαπλά λειτουργικά συστήματα. μια εξαιρετικά προσαρμόσιμη παραλλαγή που ανακατασκευάζεται κάθε ώρα για να αποφύγει τα εργαλεία προστασίας από ιούς. μια βάση δεδομένων με δυνατότητα αναζήτησης σε έναν καθαρό τομέα ιστού και τον αποκλειστικό ιστότοπο διαρροής (DLS) του αντιπάλου, που επιτρέπει στους επισκέπτες να αναζητούν δεδομένα που έχουν διαρρεύσει. και ένα μείκτη Bitcoin ενσωματωμένο σε πίνακες θυγατρικών.
Unisys: ο πηγαίος κώδικας «διήθησε» κατά τη διάρκεια μιας κυβερνοεπίθεσης το 2022
Για λιγότερο από μία ώρα, στις αρχές Αυγούστου 2022, η Alphv/BlackCat ισχυρίστηκε ότι είχε κλέψει τον πηγαίο κώδικα από την Unisys, κατά τη διάρκεια μιας κυβερνοεπίθεσης. Το περιστατικό πράγματι συνέβη, αποκαλύπτει η εξέταση των κανονιστικών δηλώσεων του ενδιαφερόμενου.
Νέες παραλλαγές Xorist
Το PCrisk βρήκε νέες παραλλαγές ransomware Xorist που προσαρτούν το
.WoXoTo
ή
.RSA-4096
επεκτάσεις και ρίχνει ένα σημείωμα λύτρων με το όνομα
ΠΩΣ ΝΑ ΑΠΟΚΡΥΠΤΩΣΕΤΕ ΑΡΧΕΙΑ.txt
.
Αυτά για αυτήν την εβδομάδα! Ελπίζω όλοι να έχουν ένα όμορφο Σαββατοκύριακο!
VIA:
bleepingcomputer.com
