Ontem, a FBI, CISA e o Departamento de Serviços de Saúde e Humanos dos Estados Unidos (HHS) alertaram as organizações de saúde dos EUA sobre ataques direcionados de ransomware ALPHV/Blackcat.
"Os afiliados da ALPHV Blackcat têm sido observados principalmente visando o setor de saúde", adverte o aviso conjunto.
O alerta de ontem segue um alerta rápido da FBI em abril de 2022 e outro aviso emitido em dezembro de 2023 detalhando a atividade do grupo de crime cibernético BlackCat desde que foi identificado em novembro de 2021 como uma rebranding suspeita dos grupos de ransomware DarkSide e BlackMatter.
A FBI ligou o BlackCat a mais de 60 violações durante seus primeiros quatro meses de atividade (entre novembro de 2021 e março de 2022) e disse que o grupo já acumulou pelo menos $300 milhões em resgates de mais de 1.000 vítimas até setembro de 2023.
"Desde meados de dezembro de 2023, dos quase 70 vítimas vazadas, o setor de saúde tem sido o mais comumente vitimado", as três agências federais alertaram no aviso conjunto de ontem.
"Isso provavelmente é uma resposta ao post do administrador da ALPHV Blackcat incentivando seus afiliados a alvejar hospitais após ação operacional contra o grupo e sua infraestrutura no início de dezembro de 2023."
A FBI, CISA e HHS aconselharam organizações de infraestrutura crítica a tomar medidas de mitigação necessárias para minimizar a probabilidade e o impacto dos incidentes de extorsão de dados e ransomware do BlackCat.
Além disso, eles instaram as organizações de saúde a implementar salvaguardas de cibersegurança para contrariar táticas, técnicas e procedimentos comumente usados no setor de Saúde e Saúde Pública (HPH).
A nota de ontem vem depois que a operação de ransomware do BlackCat foi ligada a um ciberataque na subsidiária Optum do UnitedHealth Group que desencadeou uma interrupção contínua que afeta a Change Healthcare, a maior plataforma de intercâmbio de pagamentos que conecta médicos, farmácias, provedores de saúde e pacientes no sistema de saúde dos EUA.
Embora o vice-presidente do grupo UnitedHealth, Tyler Mason, não tenha confirmado a ligação com o BlackCat em uma declaração compartilhada com o BleepingComputer, ele disse que 90% das mais de 70.000 farmácias que usam a plataforma impactada mudaram para novos processos de reclamação eletrônica.
Fontes familiarizadas com a investigação informaram ao BleepingComputer que a Change Healthcare tem realizado chamadas de Zoom com parceiros no setor de saúde para fornecer atualizações desde o ataque a seus sistemas.
O BleepingComputer soube que o ataque foi ligado ao grupo de ransomware BlackCat por especialistas forenses investigando o incidente e que os agentes de ameaça violaram a rede usando a vulnerabilidade crítica do ScreenConnect auth bypass (CVE-2024-1709), que está sendo explorada ativamente.
Embora a FBI, CISA e o HHS não tenham vinculado a nota de alerta de hoje ao incidente da Change Healthcare, eles compartilharam indicadores de comprometimento que confirmam nosso relatório de que a gangue de ransomware BlackCat está visando servidores ScreenConnect vulneráveis para acesso remoto em redes de vítimas.
A FBI interrompeu as operações da gangue BlackCat em dezembro derrubando seus sites de negociação e vazamento na rede Tor.
Os servidores do grupo também foram hackeados, o que permitiu às autoridades criar um decodificador usando as chaves coletadas durante uma invasão que durou meses.
O BlackCat "desconfiscou" seus sites e mudou para um novo site de vazamento na rede Tor que a FBI ainda não derrubou.
O Departamento de Estado dos EUA oferece recompensas de até $10 milhões por detalhes que levem à identificação ou localização dos líderes do grupo BlackCat e $5 milhões por dicas sobre indivíduos ligados aos ataques de ransomware do grupo.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...