FBI, CISA alertam hospitais dos EUA sobre ataques direcionados de ransomware BlackCat
28 de Fevereiro de 2024

Ontem, a FBI, CISA e o Departamento de Serviços de Saúde e Humanos dos Estados Unidos (HHS) alertaram as organizações de saúde dos EUA sobre ataques direcionados de ransomware ALPHV/Blackcat.

"Os afiliados da ALPHV Blackcat têm sido observados principalmente visando o setor de saúde", adverte o aviso conjunto.

O alerta de ontem segue um alerta rápido da FBI em abril de 2022 e outro aviso emitido em dezembro de 2023 detalhando a atividade do grupo de crime cibernético BlackCat desde que foi identificado em novembro de 2021 como uma rebranding suspeita dos grupos de ransomware DarkSide e BlackMatter.

A FBI ligou o BlackCat a mais de 60 violações durante seus primeiros quatro meses de atividade (entre novembro de 2021 e março de 2022) e disse que o grupo já acumulou pelo menos $300 milhões em resgates de mais de 1.000 vítimas até setembro de 2023.

"Desde meados de dezembro de 2023, dos quase 70 vítimas vazadas, o setor de saúde tem sido o mais comumente vitimado", as três agências federais alertaram no aviso conjunto de ontem.

"Isso provavelmente é uma resposta ao post do administrador da ALPHV Blackcat incentivando seus afiliados a alvejar hospitais após ação operacional contra o grupo e sua infraestrutura no início de dezembro de 2023."

A FBI, CISA e HHS aconselharam organizações de infraestrutura crítica a tomar medidas de mitigação necessárias para minimizar a probabilidade e o impacto dos incidentes de extorsão de dados e ransomware do BlackCat.

Além disso, eles instaram as organizações de saúde a implementar salvaguardas de cibersegurança para contrariar táticas, técnicas e procedimentos comumente usados no setor de Saúde e Saúde Pública (HPH).

A nota de ontem vem depois que a operação de ransomware do BlackCat foi ligada a um ciberataque na subsidiária Optum do UnitedHealth Group que desencadeou uma interrupção contínua que afeta a Change Healthcare, a maior plataforma de intercâmbio de pagamentos que conecta médicos, farmácias, provedores de saúde e pacientes no sistema de saúde dos EUA.

Embora o vice-presidente do grupo UnitedHealth, Tyler Mason, não tenha confirmado a ligação com o BlackCat em uma declaração compartilhada com o BleepingComputer, ele disse que 90% das mais de 70.000 farmácias que usam a plataforma impactada mudaram para novos processos de reclamação eletrônica.

Fontes familiarizadas com a investigação informaram ao BleepingComputer que a Change Healthcare tem realizado chamadas de Zoom com parceiros no setor de saúde para fornecer atualizações desde o ataque a seus sistemas.

O BleepingComputer soube que o ataque foi ligado ao grupo de ransomware BlackCat por especialistas forenses investigando o incidente e que os agentes de ameaça violaram a rede usando a vulnerabilidade crítica do ScreenConnect auth bypass (CVE-2024-1709), que está sendo explorada ativamente.

Embora a FBI, CISA e o HHS não tenham vinculado a nota de alerta de hoje ao incidente da Change Healthcare, eles compartilharam indicadores de comprometimento que confirmam nosso relatório de que a gangue de ransomware BlackCat está visando servidores ScreenConnect vulneráveis para acesso remoto em redes de vítimas.

A FBI interrompeu as operações da gangue BlackCat em dezembro derrubando seus sites de negociação e vazamento na rede Tor.

Os servidores do grupo também foram hackeados, o que permitiu às autoridades criar um decodificador usando as chaves coletadas durante uma invasão que durou meses.

O BlackCat "desconfiscou" seus sites e mudou para um novo site de vazamento na rede Tor que a FBI ainda não derrubou.

O Departamento de Estado dos EUA oferece recompensas de até $10 milhões por detalhes que levem à identificação ou localização dos líderes do grupo BlackCat e $5 milhões por dicas sobre indivíduos ligados aos ataques de ransomware do grupo.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...