Το FBI, η CISA και το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών (HHS) των ΗΠΑ προειδοποίησαν τους οργανισμούς υγειονομικής περίθαλψης για επιθέσεις ransomware από τη συμμορία ALPHV/Blackcat (κυρίως affiliates).
Η νέα προειδοποίηση ακολουθεί μια ειδοποίηση του FBI από τον Απρίλιο του 2022 και μια άλλη από τον Δεκέμβριο του 2023, οι οποίες περιέγραφαν λεπτομερώς τη δραστηριότητα της συμμορίας BlackCat από τότε που εμφανίστηκε τον Νοέμβριο του 2021. Πολλοί πιστεύουν ότι η ομάδα είναι rebrand των ransomware DarkSide και BlackMatter, που είχαν τραβήξει έντονα την προσοχή των αρχών.
Το FBI συνέδεσε τη ransomware συμμορία BlackCat/ALPHV με περισσότερες από 60 παραβιάσεις κατά τους πρώτους τέσσερις μήνες της δραστηριότητάς της. Υπολογίζεται ότι η συμμορία είχε συγκεντρώσει τουλάχιστον 300 εκατομμύρια δολάρια σε λύτρα από περισσότερα από 1.000 θύματα, μέχρι τον Σεπτέμβριο του 2023.
Δείτε επίσης: Οι οργανισμοί υγείας κινδυνεύουν από το Akira ransomware
Σύμφωνα με τη νέα προειδοποίηση των υπηρεσιών ασφαλείας, από τα μέσα Δεκεμβρίου 2023, τα περισσότερα θύματα του BlackCat ransomware ανήκαν στον τομέα της υγειονομικής περίθαλψης.
Αξίζει να σημειωθεί ότι ο διαχειριστής του ALPHV Blackcat είχε ενθαρρύνει τους affiliates να στοχεύουν νοσοκομεία, μετά από μια επιχείρηση των αρχών εναντίον της ομάδας, στις αρχές Δεκεμβρίου 2023. Το FBI διέκοψε τις επιχειρήσεις της συμμορίας BlackCat, καταργώντας τα sites διαπραγμάτευσης και διαρροής δεδομένων. Οι διακομιστές της συμμορίας παραβιάστηκαν επίσης και οι αρχές κατάφεραν να δημιουργήσουν ένα εργαλείο αποκρυπτογράφησης για τα θύματα.
Ωστόσο, η BlackCat επανέφερε τους ιστότοπούς της και χρησιμοποιεί ένα νέο site διαρροής δεδομένων.
Οπότε, τα αυξημένα θύματα του BlackCat ransomware στον κλάδο της υγειονομικής περίθαλψης μπορεί να οφείλονται σε αυτή την προτροπή του διαχειριστή.
Το FBI, η CISA και το HHS συμβούλεψαν τους οργανισμούς να λάβουν τα απαραίτητα μέτρα για να ελαχιστοποιήσουν την πιθανότητα μόλυνσης και τον πιθανό αντίκτυπο του Blackcat ransomware.
Επιπλέον, έχουν προτρέψει τους οργανισμούς υγειονομικής περίθαλψης να εφαρμόσουν δικλείδες ασφαλείας στον κυβερνοχώρο, για να αντιμετωπίσουν τις τακτικές και τις τεχνικές που χρησιμοποιούν συνήθως οι hackers.
Οι επιθέσεις του ALPHV/Blackcat ransomware μπορούν να προκαλέσουν σοβαρές διαταραχές στη λειτουργία των οργανισμών υγείας. Μπορούν να παρεμποδίσουν την πρόσβαση σε ζωτικά ηλεκτρονικά αρχεία και συστήματα, όπως ηλεκτρονικές ιατρικές εγγραφές, συστήματα διαχείρισης ασθενών και άλλα συστήματα πληροφορικής.
Δείτε επίσης: Χάκερς εκβιάζουν ασθενείς και οργανισμούς υγείας
Επιπλέον, οι επιθέσεις αυτές μπορούν να προκαλέσουν οικονομικές απώλειες. Αυτό μπορεί να περιλαμβάνει το κόστος για την αποκατάσταση των συστημάτων και των δεδομένων, τις πληρωμές αποζημίωσης για την αποκατάσταση των δεδομένων και τις δυνητικές νομικές επιπτώσεις από την παραβίαση της ιδιωτικότητας των ασθενών.
Τέλος, οι επιθέσεις ALPHV/Blackcat ransomware μπορούν να υπονομεύσουν την εμπιστοσύνη του κοινού στους οργανισμούς υγείας και στο σύστημα υγείας γενικότερα. Η δημοσιότητα που περιβάλλει αυτές τις επιθέσεις μπορεί να οδηγήσει σε απώλεια εμπιστοσύνης από το κοινό και τους ασθενείς, που μπορεί να έχει μακροπρόθεσμες επιπτώσεις στην εικόνα και την αποδοτικότητα των οργανισμών.
Το BlackCat χρησιμοποιεί τώρα το ScreenConnect bug για αρχική πρόσβαση
Λέγεται ότι το ransomware BlackCat βρίσκεται πίσω και από την κυβερνοεπίθεση στη θυγατρική της UnitedHealth Group, Optum. Αυτή η επίθεση προκάλεσε μια διακοπή που επηρεάζει την Change Healthcare, τη μεγαλύτερη πλατφόρμα ανταλλαγής πληρωμών που συνδέει γιατρούς, φαρμακεία, παρόχους υγειονομικής περίθαλψης και ασθενείς στις ΗΠΑ.
Σύμφωνα με το BleepingComputer, οι hackers παραβίασαν το δίκτυο χρησιμοποιώντας μια κρίσιμη ευπάθεια παράκαμψης ελέγχου στο ScreenConnect (CVE-2024-1709).
Δείτε επίσης: CISA: Κυκλοφορεί Mitigation Guide με πρακτικές ασφαλείας για τον τομέα της υγειονομικής περίθαλψης
Παρόλο που το FBI, η CISA και το HHS δεν συνέδεσαν τη σημερινή προειδοποίηση με το περιστατικό Change Healthcare, φαίνεται να επιβεβαιώνουν ότι η συμμορία ransomware BlackCat στοχεύει ευάλωτους διακομιστές ScreenConnect για απομακρυσμένη πρόσβαση σε δίκτυα θυμάτων.
Το Υπουργείο Εξωτερικών των ΗΠΑ προσφέρει ανταμοιβές έως και 10 εκατομμυρίων δολαρίων για πληροφορίες που μπορούν να οδηγήσουν στον εντοπισμό και τη σύλληψη των ηγετικών μελών της ομάδας και επιπλέον 5 εκατομμύρια δολάρια για άλλα μέλη και συνεργάτες.
Πηγή: www.bleepingcomputer.com
