Новая версия программы-вымогателя ALPHV/BlackCat поражает жертв

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) выпустило обновленное предупреждение о новой версии хранилище программ-вымогателей ALPHV/BlackCatкоторый, по его наблюдениям, нацелен на организации в США, в основном в секторе здравоохранения.

Новое руководство, которое публикуется совместно с различными правоохранительными органами и можно посмотреть полностью здесьявляется частью продолжающейся кампании CISA #StopRansomware.

ALPHV/BlackCat был предмет атаки ФБР в декабре 2023 года, но операторы программ-вымогателей были быстро отмахнуться от последствий на себя и на членов экипажа, в число которых входит группа, известная как Рассеянный паук/Окто Буряоперация, стоящая за кибератаками в Лас-Вегасе осенью 2023 года.

Новые рекомендации обновляют ряд предыдущих, последний из которых был выпущен во время ареста ФБР, и показывают, что банда вымогателей предпринимает шаги для восстановления.

«С тех пор субъекты ALPHV/BlackCat использовали импровизированные методы связи, создавая электронные письма для конкретных жертв, чтобы уведомить о первоначальном компрометации», — отмечается в сообщении.

«С середины декабря 2023 года из почти 70 жертв утечки информации больше всего пострадал сектор здравоохранения. Вероятно, это ответ на сообщение администратора ALPHV/BlackCat, призывающее его филиалы атаковать больницы после оперативных действий против группы и ее инфраструктуры в начале декабря 2023 года».

В сообщении также подробно описывается выпуск обновления ALPHV/BlackCat 2.0 Sphynx ранее в феврале. Новая версия ALPHV/BlackCat была переписана, чтобы предложить партнерам новые функции, в том числе улучшенные возможности уклонения от защиты и новые инструменты, которые позволяют шифровать не только устройства Windows и Linux, но и среды VMware.

Филиалы ALPHV/BlackCat ранее были известны тем, что использовали передовые тактики социальной инженерии, чтобы заложить основу для своих атак с использованием программ-вымогателей, часто выдавая себя за ИТ-специалистов или сотрудников службы поддержки жертвы для получения учетных данных, и эта тактика, похоже, не изменилась.

Получив доступ, средний партнер использует довольно стандартную схему, используя законные инструменты и платформы удаленного доступа, такие как Brute Racel и Cobalt Strike, для целей командования и контроля, такие приложения, как Metasploit, для уклонения от обнаружения, а также такие сервисы, как Mega.nz и Dropbox для извлечения данных перед выполнением их шкафчика.

Некоторые филиалы стали сторонниками метода, при котором фактически не используются программы-вымогатели, и сразу переходят к этапу кражи данных и вымогательства.

Консультации следуют за крупная кибератака США на Change Healthcareпоставщика услуг по управлению платежами и доходами в американских больницах, который на момент написания статьи нарушил работу аптек и других служб во многих частях страны более чем на неделю.

Эта атака была связана с ALPHV/BlackCat, и было предположение, что она могла возникнуть в результате использования критической уязвимости нулевого дня. в продукте ConnectWise ScreenConnect.

«Кибератака на Change Healthcare, крупнейшую платформу обмена медицинскими платежами, существенно повлияла на аптеки по всей стране, что привело к переходу на электронные обходные пути», — Эндрю Костис, руководитель отделения AttackIQ’s Исследовательская группа противника сообщила Computer Weekly по электронной почте.

«Огромное количество конфиденциальных данных пациентов, хранящихся в системах здравоохранения, делает эти организации опасной мишенью для групп вымогателей, что может иметь далеко идущие последствия. Эти атаки могут нанести ущерб работе организации и, что более важно, поставить под угрозу здоровье и безопасность пациентов.

«Организации здравоохранения теперь должны уделять первоочередное внимание проверке своих мер безопасности на соответствие TTP BlackCat, как указано в совместных рекомендациях, использующих структуру MITRE ATT&CK. Эмулируя поведение BlackCat, организации могут оценить уровень своей безопасности и выявить любые уязвимости. Этот упреждающий подход необходим для снижения риска будущих атак», — сказал Костис.