FBI, CISA alertam hospitais dos EUA sobre ataques direcionados de ransomware BlackCat
28 de Fevereiro de 2024

Ontem, a FBI, CISA e o Departamento de Serviços de Saúde e Humanos dos Estados Unidos (HHS) alertaram as organizações de saúde dos EUA sobre ataques direcionados de ransomware ALPHV/Blackcat.

"Os afiliados da ALPHV Blackcat têm sido observados principalmente visando o setor de saúde", adverte o aviso conjunto.

O alerta de ontem segue um alerta rápido da FBI em abril de 2022 e outro aviso emitido em dezembro de 2023 detalhando a atividade do grupo de crime cibernético BlackCat desde que foi identificado em novembro de 2021 como uma rebranding suspeita dos grupos de ransomware DarkSide e BlackMatter.

A FBI ligou o BlackCat a mais de 60 violações durante seus primeiros quatro meses de atividade (entre novembro de 2021 e março de 2022) e disse que o grupo já acumulou pelo menos $300 milhões em resgates de mais de 1.000 vítimas até setembro de 2023.

"Desde meados de dezembro de 2023, dos quase 70 vítimas vazadas, o setor de saúde tem sido o mais comumente vitimado", as três agências federais alertaram no aviso conjunto de ontem.

"Isso provavelmente é uma resposta ao post do administrador da ALPHV Blackcat incentivando seus afiliados a alvejar hospitais após ação operacional contra o grupo e sua infraestrutura no início de dezembro de 2023."

A FBI, CISA e HHS aconselharam organizações de infraestrutura crítica a tomar medidas de mitigação necessárias para minimizar a probabilidade e o impacto dos incidentes de extorsão de dados e ransomware do BlackCat.

Além disso, eles instaram as organizações de saúde a implementar salvaguardas de cibersegurança para contrariar táticas, técnicas e procedimentos comumente usados no setor de Saúde e Saúde Pública (HPH).

A nota de ontem vem depois que a operação de ransomware do BlackCat foi ligada a um ciberataque na subsidiária Optum do UnitedHealth Group que desencadeou uma interrupção contínua que afeta a Change Healthcare, a maior plataforma de intercâmbio de pagamentos que conecta médicos, farmácias, provedores de saúde e pacientes no sistema de saúde dos EUA.

Embora o vice-presidente do grupo UnitedHealth, Tyler Mason, não tenha confirmado a ligação com o BlackCat em uma declaração compartilhada com o BleepingComputer, ele disse que 90% das mais de 70.000 farmácias que usam a plataforma impactada mudaram para novos processos de reclamação eletrônica.

Fontes familiarizadas com a investigação informaram ao BleepingComputer que a Change Healthcare tem realizado chamadas de Zoom com parceiros no setor de saúde para fornecer atualizações desde o ataque a seus sistemas.

O BleepingComputer soube que o ataque foi ligado ao grupo de ransomware BlackCat por especialistas forenses investigando o incidente e que os agentes de ameaça violaram a rede usando a vulnerabilidade crítica do ScreenConnect auth bypass (CVE-2024-1709), que está sendo explorada ativamente.

Embora a FBI, CISA e o HHS não tenham vinculado a nota de alerta de hoje ao incidente da Change Healthcare, eles compartilharam indicadores de comprometimento que confirmam nosso relatório de que a gangue de ransomware BlackCat está visando servidores ScreenConnect vulneráveis para acesso remoto em redes de vítimas.

A FBI interrompeu as operações da gangue BlackCat em dezembro derrubando seus sites de negociação e vazamento na rede Tor.

Os servidores do grupo também foram hackeados, o que permitiu às autoridades criar um decodificador usando as chaves coletadas durante uma invasão que durou meses.

O BlackCat "desconfiscou" seus sites e mudou para um novo site de vazamento na rede Tor que a FBI ainda não derrubou.

O Departamento de Estado dos EUA oferece recompensas de até $10 milhões por detalhes que levem à identificação ou localização dos líderes do grupo BlackCat e $5 milhões por dicas sobre indivíduos ligados aos ataques de ransomware do grupo.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...