Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury Stanów Zjednoczonych (CISA) wydała zaktualizowane ostrzeżenie doradcze dotyczące nowej wersji skrytka ransomware ALPHV/BlackCatktóre, jak zaobserwował, są skierowane przeciwko organizacjom w USA, głównie w sektorze opieki zdrowotnej.
Nowe wytyczne, które są publikowane wspólnie z różnymi organami ścigania i można obejrzeć w całości tutajstanowi część trwającej kampanii CISA #StopRansomware.
ALPHV/BlackCat był przedmiotem żądła FBI w grudniu 2023 r., ale operatorzy systemu ransomware tak szybko otrząsnąć się z wrażenia na nich samych oraz na towarzyszach załogi, do których należy grupa tzw Rozproszony Pająk/Nawałnica Octoktóra stoi za cyberatakami w Las Vegas jesienią 2023 r.
Nowe powiadomienie aktualizuje szereg poprzednich, wydanych ostatnio w momencie usunięcia FBI, i ujawnia, iż gang zajmujący się oprogramowaniem ransomware podjął kroki, aby odzyskać siły,
„Od tego czasu podmioty ALPHV/BlackCat stosowały improwizowane metody komunikacji, tworząc e-maile przeznaczone dla konkretnych ofiar w celu powiadomienia o początkowym kompromisie” – czytamy w notatce.
„Od połowy grudnia 2023 r. spośród prawie 70 ofiar wycieku najczęściej ofiarą padał sektor opieki zdrowotnej. Dzieje się tak prawdopodobnie w odpowiedzi na post administratora ALPHV/BlackCat zachęcający jego podmioty stowarzyszone do atakowania szpitali po działaniach operacyjnych przeciwko grupie i jej infrastrukturze na początku grudnia 2023 r.”.
W poradniku szczegółowo opisano także publikację aktualizacji ALPHV/BlackCat 2.0 Sphynx na początku lutego. Nowa wersja ALPHV/BlackCat została przepisana, aby zaoferować partnerom nowe funkcje, w tym lepsze możliwości unikania zabezpieczeń i nowe narzędzia, które pozwalają szyfrować nie tylko urządzenia z systemami Windows i Linux, ale także środowiska VMware.
Podmioty stowarzyszone ALPHV/BlackCat były wcześniej znane ze stosowania zaawansowanych taktyk inżynierii społecznej w celu przygotowania podwalin dla swoich ataków systemu ransomware, często podając się za pracowników działu IT lub pomocy technicznej ofiary w celu uzyskania danych uwierzytelniających, i wydaje się, iż taktyka ta nie uległa zmianie.
Po uzyskaniu dostępu przeciętny partner korzysta z dość standardowego podręcznika, wykorzystując legalne narzędzia i struktury zdalnego dostępu, takie jak Brute Ratel i Cobalt Strike do celów dowodzenia i kontroli, aplikacje takie jak Metasploit w celu uniknięcia wykrycia oraz usługi takie jak Mega.nz i Dropbox do eksfiltracji danych przed uruchomieniem swojej szafki.
Niektórzy partnerzy stali się propagatorami techniki, w ramach której nie instaluje się żadnego systemu ransomware i przechodzą od razu do fazy kradzieży i wyłudzeń danych.
Porada jest następująca poważny amerykański atak cybernetyczny na Change Healthcaredostawcy usług zarządzania płatnościami i przychodami w amerykańskich szpitalach, który w chwili pisania tego tekstu przez ponad tydzień zakłócał funkcjonowanie aptek i innych usług w wielu częściach kraju.
Atak ten powiązano z ALPHV/BlackCat i spekulowano, iż mógł on nastąpić w wyniku wykorzystania krytycznego punktu zero-day w produkcie ConnectWise ScreenConnect.
„Cyberatak na Change Healthcare, największą platformę wymiany płatności za opiekę zdrowotną, wywarł znaczący wpływ na apteki w całym kraju, co skłoniło do przyjęcia rozwiązań elektronicznych” – Andrew Costis, kierownik rozdziału ds. AttackIQ Zespół badawczy Adversary, poinformował „Computer Weekly” pocztą elektroniczną.
„Ogromna ilość wrażliwych danych pacjentów przechowywanych w systemach opieki zdrowotnej sprawia, iż organizacje te stają się niebezpiecznym celem dla grup zajmujących się oprogramowaniem ransomware, co może mieć daleko idące konsekwencje. Ataki te mogą sparaliżować funkcjonowanie organizacji i, co ważniejsze, zagrozić zdrowiu i bezpieczeństwu pacjentów.
„Organizacje zajmujące się opieką zdrowotną muszą teraz priorytetowo potraktować walidację swoich środków bezpieczeństwa w odniesieniu do TTP BlackCat, jak określono we wspólnym doradztwie wykorzystującym ramy MITRE ATT&CK. Naśladując zachowania BlackCat, organizacje mogą ocenić swój poziom bezpieczeństwa i wskazać wszelkie luki w zabezpieczeniach. To proaktywne podejście jest niezbędne, aby ograniczyć ryzyko przyszłych ataków” – powiedział Costis.
