Le gouvernement am\u00e9ricain met en garde contre la r\u00e9surgence des attaques de ransomware BlackCat (alias ALPHV) ciblant le secteur de la sant\u00e9 pas plus tard que ce mois-ci.<\/p>\n
“Depuis la mi-d\u00e9cembre 2023, parmi les pr\u00e8s de 70 victimes divulgu\u00e9es, le secteur de la sant\u00e9 est le plus souvent victime”, selon le gouvernement. dit<\/a> dans un avis mis \u00e0 jour.<\/p>\n “C’est probablement une r\u00e9ponse au message de l’administrateur d’ALPHV\/BlackCat encourageant ses affili\u00e9s \u00e0 cibler les h\u00f4pitaux apr\u00e8s une action op\u00e9rationnelle contre le groupe et ses infrastructures d\u00e9but d\u00e9cembre 2023.”<\/p>\n L’avis provient du Federal Bureau of Investigation (FBI), de la Cybersecurity and Infrastructure Security Agency (CISA) et du minist\u00e8re de la Sant\u00e9 et des Services sociaux (HHS).<\/p>\n L\u2019op\u00e9ration de ransomware BlackCat a subi un coup dur \u00e0 la fin de l\u2019ann\u00e9e derni\u00e8re apr\u00e8s qu\u2019une op\u00e9ration coordonn\u00e9e des forces de l\u2019ordre a conduit \u00e0 la saisie de ses sites de fuites sombres. Mais le retrait s’est av\u00e9r\u00e9 \u00eatre un \u00e9chec apr\u00e8s que le groupe a r\u00e9ussi \u00e0 reprendre le contr\u00f4le des sites et \u00e0 passer \u00e0 un nouveau portail de fuite de donn\u00e9es TOR qui reste actif \u00e0 ce jour.<\/p>\n Il s’est \u00e9galement intensifi\u00e9 contre les organisations d’infrastructures critiques ces derni\u00e8res semaines, ayant revendiqu\u00e9 la responsabilit\u00e9 d’attaques contre Prudential Financial, LoanDepot, Trans-Northern Pipelines et la filiale du groupe UnitedHealth. Optum<\/a>.<\/p>\n Cette \u00e9volution a incit\u00e9 le gouvernement am\u00e9ricain \u00e0 annoncer des r\u00e9compenses financi\u00e8res allant jusqu’\u00e0 15 millions de dollars pour les informations permettant l’identification des membres cl\u00e9s ainsi que des affili\u00e9s du groupe de cybercriminalit\u00e9.<\/p>\n La vague de ransomwares de BlackCat co\u00efncide avec le retour de LockBit apr\u00e8s des efforts de perturbation similaires men\u00e9s par la National Crime Agency (NCA) du Royaume-Uni la semaine derni\u00e8re.<\/p>\n Selon un rapport<\/a> Selon SC Magazine, des acteurs malveillants ont viol\u00e9 le r\u00e9seau d’Optum en exploitant les failles de s\u00e9curit\u00e9 critiques r\u00e9cemment r\u00e9v\u00e9l\u00e9es dans le logiciel de bureau et d’acc\u00e8s \u00e0 distance ScreenConnect de ConnectWise.<\/p>\n Les failles, qui permettent l’ex\u00e9cution de code \u00e0 distance sur des syst\u00e8mes sensibles, ont \u00e9galement \u00e9t\u00e9 arm\u00e9<\/a> par les gangs de ransomwares Black Basta et Bl00dy ainsi que par d’autres acteurs malveillants pour fournir des Cobalt Strike Beacons, XWorm et m\u00eame d’autres outils de gestion \u00e0 distance comme Atera, Syncro et un autre client ScreenConnect.<\/p>\n La soci\u00e9t\u00e9 de gestion de surface d’attaque Censys a d\u00e9clar\u00e9 avoir observ\u00e9 en ligne plus de 3\u00a0400 h\u00f4tes ScreenConnect potentiellement vuln\u00e9rables expos\u00e9s, la plupart d’entre eux \u00e9tant situ\u00e9s aux \u00c9tats-Unis, au Canada, au Royaume-Uni, en Australie, en Allemagne, en France, en Inde, aux Pays-Bas, en Turquie et en Irlande.<\/p>\n “Il est clair que les logiciels d’acc\u00e8s \u00e0 distance comme ScreenConnect continuent d’\u00eatre une cible privil\u00e9gi\u00e9e pour les auteurs de menaces”, Himaja Motheram, chercheur en s\u00e9curit\u00e9 chez Censys. dit<\/a>.<\/p>\n Les r\u00e9sultats proviennent de groupes de ransomwares comme RansomHouse, Rhysida et une variante de Phobos appel\u00e9e Retourner \u00e0 mes donn\u00e9es<\/a> ont continu\u00e9 \u00e0 compromis<\/a> diverses organisations aux \u00c9tats-Unis, au Royaume-Uni, en Europe et au Moyen-Orient. <\/p>\n Signe que ces groupes de cybercriminalit\u00e9 se tournent vers des tactiques plus nuanc\u00e9es et sophistiqu\u00e9es, RansomHouse a d\u00e9velopp\u00e9 un outil personnalis\u00e9 baptis\u00e9 MrAgent pour d\u00e9ployer le malware de cryptage de fichiers \u00e0 grande \u00e9chelle.<\/p>\n “MrAgent est un binaire con\u00e7u pour fonctionner sur [VMware ESXi] hyperviseurs, dans le seul but d’automatiser et de suivre le d\u00e9ploiement de ransomwares dans de grands environnements comportant un grand nombre de syst\u00e8mes d’hyperviseurs”, Trellix dit<\/a>. D\u00e9tails de MrAgent est apparu pour la premi\u00e8re fois<\/a> en septembre 2023.<\/p>\n Une autre tactique importante adopt\u00e9e par certains groupes de ransomwares est la vente d’un acc\u00e8s direct au r\u00e9seau comme nouvelle m\u00e9thode de mon\u00e9tisation via leurs propres blogs, sur les cha\u00eenes Telegram ou sur des sites Web de fuite de donn\u00e9es, KELA. dit<\/a>.<\/p>\n Cela fait \u00e9galement suite \u00e0 la publication publique d’une menace de ransomware sp\u00e9cifique \u00e0 Linux, bas\u00e9e sur C, connue sous le nom de Kryptina, qui a fait surface en d\u00e9cembre 2023 sur des forums clandestins et a depuis \u00e9t\u00e9 mise \u00e0 disposition gratuitement sur BreachForums par son cr\u00e9ateur.<\/p>\n “La publication du code source RaaS, accompagn\u00e9 d’une documentation compl\u00e8te, pourrait avoir des implications significatives sur la propagation et l’impact des attaques de ransomware contre les syst\u00e8mes Linux”, a d\u00e9clar\u00e9 Jim Walter, chercheur chez SentinelOne. dit<\/a>.<\/p>\n “Cela est susceptible d’accro\u00eetre l’attractivit\u00e9 et la convivialit\u00e9 du cr\u00e9ateur de ransomware, en attirant encore plus de participants peu qualifi\u00e9s dans l’\u00e9cosyst\u00e8me de la cybercriminalit\u00e9. Il existe \u00e9galement un risque important que cela conduise au d\u00e9veloppement de multiples retomb\u00e9es et \u00e0 une augmentation des attaques.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-FBI-met-en-garde-le-secteur-americain-de-la.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n