Le gouvernement américain met en garde contre la résurgence des attaques de ransomware BlackCat (alias ALPHV) ciblant le secteur de la santé pas plus tard que ce mois-ci.
« Depuis la mi-décembre 2023, parmi les près de 70 victimes divulguées, le secteur de la santé est le plus souvent victime », selon le gouvernement. dit dans un avis mis à jour.
« C’est probablement une réponse au message de l’administrateur d’ALPHV/BlackCat encourageant ses affiliés à cibler les hôpitaux après une action opérationnelle contre le groupe et ses infrastructures début décembre 2023. »
L’avis provient du Federal Bureau of Investigation (FBI), de la Cybersecurity and Infrastructure Security Agency (CISA) et du ministère de la Santé et des Services sociaux (HHS).
L’opération de ransomware BlackCat a subi un coup dur à la fin de l’année dernière après qu’une opération coordonnée des forces de l’ordre a conduit à la saisie de ses sites de fuites sombres. Mais le retrait s’est avéré être un échec après que le groupe a réussi à reprendre le contrôle des sites et à passer à un nouveau portail de fuite de données TOR qui reste actif à ce jour.
Il s’est également intensifié contre les organisations d’infrastructures critiques ces dernières semaines, ayant revendiqué la responsabilité d’attaques contre Prudential Financial, LoanDepot, Trans-Northern Pipelines et la filiale du groupe UnitedHealth. Optum.
Cette évolution a incité le gouvernement américain à annoncer des récompenses financières allant jusqu’à 15 millions de dollars pour les informations permettant l’identification des membres clés ainsi que des affiliés du groupe de cybercriminalité.
La vague de ransomwares de BlackCat coïncide avec le retour de LockBit après des efforts de perturbation similaires menés par la National Crime Agency (NCA) du Royaume-Uni la semaine dernière.
Selon un rapport Selon SC Magazine, des acteurs malveillants ont violé le réseau d’Optum en exploitant les failles de sécurité critiques récemment révélées dans le logiciel de bureau et d’accès à distance ScreenConnect de ConnectWise.
Les failles, qui permettent l’exécution de code à distance sur des systèmes sensibles, ont également été armé par les gangs de ransomwares Black Basta et Bl00dy ainsi que par d’autres acteurs malveillants pour fournir des Cobalt Strike Beacons, XWorm et même d’autres outils de gestion à distance comme Atera, Syncro et un autre client ScreenConnect.
La société de gestion de surface d’attaque Censys a déclaré avoir observé en ligne plus de 3 400 hôtes ScreenConnect potentiellement vulnérables exposés, la plupart d’entre eux étant situés aux États-Unis, au Canada, au Royaume-Uni, en Australie, en Allemagne, en France, en Inde, aux Pays-Bas, en Turquie et en Irlande.
« Il est clair que les logiciels d’accès à distance comme ScreenConnect continuent d’être une cible privilégiée pour les auteurs de menaces », Himaja Motheram, chercheur en sécurité chez Censys. dit.
Les résultats proviennent de groupes de ransomwares comme RansomHouse, Rhysida et une variante de Phobos appelée Retourner à mes données ont continué à compromis diverses organisations aux États-Unis, au Royaume-Uni, en Europe et au Moyen-Orient.
Signe que ces groupes de cybercriminalité se tournent vers des tactiques plus nuancées et sophistiquées, RansomHouse a développé un outil personnalisé baptisé MrAgent pour déployer le malware de cryptage de fichiers à grande échelle.
« MrAgent est un binaire conçu pour fonctionner sur [VMware ESXi] hyperviseurs, dans le seul but d’automatiser et de suivre le déploiement de ransomwares dans de grands environnements comportant un grand nombre de systèmes d’hyperviseurs », Trellix dit. Détails de MrAgent est apparu pour la première fois en septembre 2023.
Une autre tactique importante adoptée par certains groupes de ransomwares est la vente d’un accès direct au réseau comme nouvelle méthode de monétisation via leurs propres blogs, sur les chaînes Telegram ou sur des sites Web de fuite de données, KELA. dit.
Cela fait également suite à la publication publique d’une menace de ransomware spécifique à Linux, basée sur C, connue sous le nom de Kryptina, qui a fait surface en décembre 2023 sur des forums clandestins et a depuis été mise à disposition gratuitement sur BreachForums par son créateur.
« La publication du code source RaaS, accompagné d’une documentation complète, pourrait avoir des implications significatives sur la propagation et l’impact des attaques de ransomware contre les systèmes Linux », a déclaré Jim Walter, chercheur chez SentinelOne. dit.
« Cela est susceptible d’accroître l’attractivité et la convivialité du créateur de ransomware, en attirant encore plus de participants peu qualifiés dans l’écosystème de la cybercriminalité. Il existe également un risque important que cela conduise au développement de multiples retombées et à une augmentation des attaques. »