El gobierno de EE. UU. advierte sobre el resurgimiento de los ataques de ransomware BlackCat (también conocido como ALPHV) dirigidos al sector de la salud este mes.
«Desde mediados de diciembre de 2023, de las casi 70 víctimas filtradas, el sector sanitario ha sido el más afectado», afirma el Gobierno. dicho en un aviso actualizado.
«Esto probablemente sea en respuesta a la publicación del administrador de ALPHV/BlackCat que alienta a sus afiliados a atacar los hospitales después de una acción operativa contra el grupo y su infraestructura a principios de diciembre de 2023».
El aviso proviene de la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS).
La operación de ransomware BlackCat sufrió un duro golpe a finales del año pasado después de que una operación policial coordinada condujera a la incautación de sus sitios de filtraciones oscuras. Pero la eliminación resultó ser un fracaso después de que el grupo logró recuperar el control de los sitios y cambió a un nuevo portal de fuga de datos TOR que continúa activo hasta la fecha.
También ha atacado organizaciones de infraestructura crítica en las últimas semanas, tras haberse atribuido la responsabilidad de los ataques a Prudential Financial, LoanDepot, Trans-Northern Pipelines y la filial de UnitedHealth Group. optum.
Este hecho ha llevado al gobierno de Estados Unidos a anunciar recompensas financieras de hasta 15 millones de dólares por información que conduzca a la identificación de miembros clave y afiliados del grupo de delincuencia electrónica.
La ola de ransomware de BlackCat coincide con el regreso de LockBit después de esfuerzos de interrupción similares liderados por la Agencia Nacional contra el Crimen (NCA) del Reino Unido la semana pasada.
De acuerdo a un informe de SC Magazine, los actores de amenazas violaron la red de Optum aprovechando las fallas de seguridad críticas recientemente reveladas en el software de acceso y escritorio remoto ScreenConnect de ConnectWise.
Las fallas, que permiten la ejecución remota de código en sistemas susceptibles, también han sido armado por las bandas de ransomware Black Basta y Bl00dy, así como por otros actores de amenazas para entregar Cobalt Strike Beacons, XWorm e incluso otras herramientas de administración remota como Atera, Syncro y otro cliente ScreenConnect.
La empresa de gestión de superficies de ataque Censys dijo que observó más de 3.400 hosts ScreenConnect potencialmente vulnerables expuestos en línea, la mayoría de ellos ubicados en EE. UU., Canadá, Reino Unido, Australia, Alemania, Francia, India, Países Bajos, Turquía e Irlanda.
«Está claro que el software de acceso remoto como ScreenConnect sigue siendo un objetivo principal para los actores de amenazas», dijo Himaja Motheram, investigador de seguridad de Censys. dicho.
Los hallazgos surgen cuando grupos de ransomware como RansomHouse, Rhysida y una variante de Phobos llamada backmydata han seguido compromiso varias organizaciones en Estados Unidos, Reino Unido, Europa y Oriente Medio.
En una señal de que estos grupos de delitos cibernéticos están cambiando a tácticas más sofisticadas y matizadas, RansomHouse ha desarrollado una herramienta personalizada denominada MrAgent para implementar el malware de cifrado de archivos a escala.
«MrAgent es un binario diseñado para ejecutarse en [VMware ESXi] hipervisores, con el único propósito de automatizar y rastrear la implementación de ransomware en grandes entornos con una gran cantidad de sistemas de hipervisor», Trellix dicho. Detalles de MrAgent salió a la luz por primera vez en septiembre de 2023.
Otra táctica importante adoptada por algunos grupos de ransomware es la venta de acceso directo a la red como nuevo método de monetización a través de sus propios blogs, canales de Telegram o sitios web de fuga de datos, KELA. dicho.
También sigue al lanzamiento público de una amenaza de ransomware basada en C específica de Linux conocida como Kryptina, que apareció en diciembre de 2023 en foros clandestinos y desde entonces su creador la puso a disposición de forma gratuita en BreachForums.
«La publicación del código fuente de RaaS, completo con una extensa documentación, podría tener implicaciones significativas para la propagación y el impacto de los ataques de ransomware contra sistemas Linux», dijo el investigador de SentinelOne, Jim Walter. dicho.
«Es probable que aumente el atractivo y la usabilidad del creador de ransomware, atrayendo aún más participantes poco calificados al ecosistema del cibercrimen. También existe un riesgo significativo de que conduzca al desarrollo de múltiples efectos secundarios y un aumento de los ataques».