De Amerikaanse regering waarschuwt deze maand voor de heropleving van BlackCat (ook bekend als ALPHV) ransomware-aanvallen gericht op de gezondheidszorgsector.
“Sinds medio december 2023 is van de bijna zeventig uitgelekte slachtoffers de gezondheidszorg het meest slachtoffer geworden”, aldus de regering in een geactualiseerd advies.
“Dit is waarschijnlijk een reactie op de post van de ALPHV/BlackCat-beheerder waarin hij zijn dochterondernemingen aanmoedigt om ziekenhuizen te targeten na operationele actie tegen de groep en haar infrastructuur begin december 2023.”
De waarschuwing komt met dank aan het Federal Bureau of Investigation (FBI), de Cybersecurity and Infrastructure Security Agency (CISA) en het Department of Health and Human Services (HHS).
De BlackCat-ransomware-operatie kreeg eind vorig jaar een grote klap te verduren nadat een gecoördineerde wetshandhavingsoperatie leidde tot de inbeslagname van de dark lek-sites. Maar de verwijdering bleek een mislukking nadat de groep erin slaagde de controle over de sites terug te krijgen en overschakelde naar een nieuw TOR-datalekportaal dat tot op heden actief blijft.
Het heeft de afgelopen weken ook de strijd aangebonden tegen kritieke infrastructuurorganisaties, nadat het de verantwoordelijkheid had opgeëist voor aanvallen op Prudential Financial, LoanDepot, Trans-Northern Pipelines en dochteronderneming van UnitedHealth Group, Optum.
Deze ontwikkeling heeft de Amerikaanse regering ertoe aangezet om financiële beloningen tot 15 miljoen dollar aan te kondigen voor informatie die leidt tot de identificatie van belangrijke leden en aangesloten bedrijven van de e-crime-groep.
De ransomwaregolf van BlackCat valt samen met de terugkeer van LockBit na soortgelijke verstoringsinspanningen onder leiding van de Britse National Crime Agency (NCA) vorige week.
Volgens een rapport van SC Magazine hebben bedreigingsactoren inbreuk gemaakt op het netwerk van Optum door gebruik te maken van de onlangs onthulde kritieke beveiligingsfouten in de ScreenConnect externe desktop- en toegangssoftware van ConnectWise.
De gebreken, die het op afstand uitvoeren van code op gevoelige systemen mogelijk maken, zijn ook bewapend door de Black Basta- en Bl00dy-ransomwarebendes en door andere bedreigingsactoren om Cobalt Strike Beacons, XWorm en zelfs andere tools voor extern beheer zoals Atera, Syncro te leveren. en een andere ScreenConnect-client.
Attack Surface Management-bedrijf Censys zei dat het op 27 februari 2024 niet minder dan 3.400 blootgestelde potentieel kwetsbare ScreenConnect-hosts online had waargenomen, waarvan de meerderheid zich in de VS, Canada, Groot-Brittannië, Australië, Duitsland, Frankrijk, India, Nederland, Turkije en Ierland.
“Het is duidelijk dat software voor externe toegang zoals ScreenConnect een belangrijk doelwit blijft voor bedreigingsactoren”, zegt Censys-beveiligingsonderzoeker Himaja Motheram.
De bevindingen komen omdat ransomwaregroepen zoals RansomHouse, Rhysida en een Phobos-variant genaamd Backmydata verschillende organisaties in de VS, het VK, Europa en het Midden-Oosten blijven compromitteren.
Als teken dat deze cybercriminaliteitsgroepen overgaan op meer genuanceerde en geavanceerde tactieken, heeft RansomHouse een aangepaste tool ontwikkeld, genaamd MrAgent, om de bestandsversleutelende malware op grote schaal in te zetten.
“MrAgent is een binair bestand dat is ontworpen om op te draaien [VMware ESXi] hypervisors, met als enige doel het automatiseren en volgen van de inzet van ransomware in grote omgevingen met een groot aantal hypervisorsystemen”, aldus Trellix. voor het eerst aan het licht kwam in september 2023.
Een andere belangrijke tactiek die sommige ransomwaregroepen hanteren is de verkoop van directe netwerktoegang als een nieuwe methode om inkomsten te genereren via hun eigen blogs, op Telegram-kanalen of datalekkenwebsites, aldus KELA.
Het volgt ook op de publieke release van een Linux-specifieke, op C-gebaseerde ransomware-dreiging, bekend als Kryptina, die in december 2023 opdook op ondergrondse forums en sindsdien door de maker ervan gratis beschikbaar is gesteld op BreachForums.
“Het vrijgeven van de RaaS-broncode, compleet met uitgebreide documentatie, zou aanzienlijke gevolgen kunnen hebben voor de verspreiding en impact van ransomware-aanvallen op Linux-systemen”, aldus SentinelOne-onderzoeker Jim Walter.
“Het zal waarschijnlijk de aantrekkelijkheid en bruikbaarheid van de ransomware-bouwer vergroten, waardoor nog meer laagopgeleide deelnemers aan het cybercrime-ecosysteem worden aangetrokken. Er is ook een aanzienlijk risico dat het zal leiden tot de ontwikkeling van meerdere spin-offs en een toename van het aantal aanvallen.”
