Atacurile ransomware asupra sistemului de sănătate în ultimele luni au fost neînduplecate, cu numeroase operațiuni de ransomware vizând spitale și servicii medicale, provocând perturbări în îngrijirea pacienților și accesul la medicamente cu prescripție în SUA.
Cel mai impactant atac din 2024 până în prezent este atacul asupra subsidiarei UnitedHealth Group, Change Healthcare, care a avut consecințe semnificative pentru sistemul de sănătate din SUA. Acest atac a fost ulterior legat de operațiunea de ransomware BlackCat, UnitedHealth confirmând că grupul se afla în spatele atacului.
Change Healthcare este un serviciu de schimb electronic de plată folosit de medici, farmaciști și spitale pentru a trimite cereri de plată în sistemul de sănătate din SUA.
Atacul a provocat perturbări semnificative în serviciile Change Healthcare, afectând în mod semnificativ farmaciile care nu pot factura clienții care ridică medicamente pe bază de prescripție.
Această perturbare a ajuns până la pacienți, care, în unele cazuri, sunt forțați să plătească prețul integral pentru medicamentele lor până când problema este rezolvată. Cu toate acestea, unele medicamente pot costa mii de dolari, făcându-le dificil de achitat pentru mulți.
Pentru a agrava lucrurile, operațiunea de ransomware BlackCat, cunoscută și sub numele de ALPHV, susține că a furat 6TB de date de la Change Healthcare în timpul atacului, conținând informațiile personale ale milioane de oameni.
Atacul a determinat FBI, CISA și HHS să emită un avertisment comun cu privire la atacurile BlackCat asupra spitalelor.
„Cyberatacul asupra Change Healthcare care a început la 21 februarie este cel mai grav incident de acest fel nivelat împotriva unei organizații de îngrijire a sănătății din SUA”, a avertizat Rick Pollack, Președinte și CEO al Asociației Spitalicesti Americane (AHA).
„Vom continua discuțiile cu UnitedHealth Group și guvernul federal cu privire la aceste eforturi, deoarece o perturbare prelungită a sistemelor Change Healthcare ar putea însemna că unele spitale și sisteme de sănătate nu ar putea plăti salariile pentru clinicieni și alte membri ai echipei de îngrijire, achiziționa medicamente și provizii necesare și plăti pentru lucrările contractuale critice în domenii precum securitatea fizică, alimentație și servicii de mediu.” – Rick Pollack de la AHA.
O altă operațiune de ransomware cunoscută sub numele de Rhysida, de asemenea cunoscută pentru atacurile sale asupra sistemului de sănătate, a coborât la un nou nivel încercând să vândă datele pacienților furate de la Spitalul pentru Copii Lurie din Chicago.
Alt ransomware cunoscut pentru vizarea sistemului de sănătate este Lockbit, care a fost lovit de o operațiune de aplicare a legii săptămâna trecută numită Operațiunea Cronos care a permis forțelor de aplicare a legii să confiște servere, date și decriptoare.
Cu toate acestea, LockBit s-a întors cu o nouă infrastructură și servere, promițând să își mărească securitatea și să prevină o astfel de demolare masivă din nou.
În mod nefericit, BleepingComputer a observat deja semne că unii afiliați desfășoară activ atacuri, dar pare să fie la o capacitate redusă în comparație cu înainte de operațiunea de aplicare a legii.
În continuare, mulți cred că LockBit se va închide curând după ce reputația i-a fost pătată și a pierdut încrederea în comunitatea de criminalitate cibernetică.
În alte știri, un grup de extorcare numit Mogilevich susține că a pătruns în Epic Games și a furat 189 GB de date, inclusiv codul sursă. Epic Games, totuși, a declarat pentru BleepingComputer că nu există „zero dovezi” că au fost pătrunși printr-un atac.
În cele din urmă, mai multe bande de ransomware s-au alăturat exploatației vulnerabilității ScreenConnect RCE, inclusiv Black Basta și banda de ransomware Bl00dy.
Contribuitorii și cei care au furnizat informații noi despre ransomware în această săptămână includ: @demonslay335, @Ionut_Ilascu, @Seifreed, @serghei, @fwosar, @BleepinComputer, @malwrhunterteam, @billtoulas, @LawrenceAbrams, @Threatlabz, @DarkWebInformer, @CISAgov, @TrendMicro, @Shadowserver, @a_greenberg, @BrettCallow, @Jon__DiMaggio, @CrowdStrike, @H4ckManac, @RobWright22, @ValeryMarchive și @pcrisk.
Banda LockBit își reia operațiunea de ransomware pe o nouă infrastructură mai puțin de o săptămână după ce forțele de aplicare a legii le-au hăcuit serverele și amenință să își concentreze mai multe atacuri asupra sectorului guvernamental.
Un atac cibernetic asupra subsidiarei UnitedHealth Group, Optum, care a condus la o întrerupere în curs de desfășurare afectând platforma de schimb de plată Change Healthcare, a fost legat de grupul de ransomware BlackCat de surse familiare cu investigația.
Această ediție a Ransomware Roundup acoperă ransomware-ul Abyss Locker (AbyssLocker).
Astăzi, FBI, CISA și Departamentul de Sănătate și Servicii Umane (HHS) au avertizat organizațiile de sănătate din SUA cu privire la atacurile țintite de ransomware ALPHV/Blackcat.
Bandele de ransomware Black Basta și Bl00dy s-au alăturat atacurilor extinse care vizează serverele ScreenConnect neactualizate împotriva unei vulnerabilități de autentificare de severitate maximă.
Centrul pentru Consumatori Hessen din Germania a fost lovit de un atac de ransomware, determinând sistemele IT să se închidă și să perturbe temporar disponibilitatea acestora.
PCrisk a descoperit o nouă variantă de ransomware Mallox care adaugă extensia .ma1x0 și lasă o notă de răscumpărare numită CUM SĂ RESTAURAȚI FIȘIERELE.txt.
Epic Games a declarat că nu a găsit nicio dovadă a unui cyberatac sau furt de date după ce grupul de extorcare Mogilevich a pretins că a pătruns în serverele companiei.
Banda de ransomware LockBit desfășoară din nou atacuri, folosind encryptoare actualizate cu note de răscumpărare care trimit către servere noi după disruptia forțelor de aplicare a legii de săptămâna trecută.
Banda de ransomware BlackCat/ALPHV a revendicat oficial responsabilitatea pentru un cyberatac asupra Optum, o subsidiară a UnitedHealth Group (UHG), care a condus la o întrerupere în curs de desfășurare afectând platforma Change Healthcare.
Banda de ransomware Rhysida a revendicat cyberatacul asupra Spitalului pentru Copii Lurie din Chicago la începutul lunii.
Departamentul Federal de Investigații (FBI), Agenția de Securitate a Cibernetică și a Infrastructurii (CISA) și Centrul Multistatal de Schimb și Analiză a Informațiilor (MS-ISAC) lansează această CSA comună pentru a disemina TTP-uri și IOCs cunoscute asociate cu variantele de ransomware Phobos observate recent până în februarie 2024, conform rapoartelor din surse deschise. Phobos este structurat ca un model de ransomware ca serviciu (RaaS). Începând cu mai 2019, incidentele de ransomware Phobos care afectează guvernele statale, locale, tribale și teritoriale (SLTT) au fost raportate în mod regulat către MS-ISAC. Aceste incidente au vizat guvernele municipale și județene, serviciile de urgență, educația, îngrijirea sănătății publice și alte entități de infrastructură critică pentru a răscumpăra cu succes câteva milioane de dolari americani
În această săptămână, banda notorie de ransomware cunoscută sub numele de LockBit a amenințat cu o perturbare care ar fi fost o premieră chiar și pentru o industrie criminală care a paralizat spitalele și a declanșat închiderea unui gazoduct: scurgerea documentelor din urmărirea penală a unui fost președinte și candidat prezidențial.
Apoi, fără explicație, acea amenințare a dispărut, lăsând multe întrebări fără răspuns în urmă.
PCrisk a descoperit un nou ransomware care adaugă extensia .frea și lasă o notă de răscumpărare numită oku.txt.
Ransomware-ul ca serviciu Alphv, care a apărut pentru prima dată în decembrie 2021, este remarcabil pentru faptul că este primul scris în limbajul de programare Rust. Alphv RaaS oferă o serie de caracteristici concepute pentru a atrage afiliați sofisticați, inclusiv variante de ransomware care vizau mai multe sisteme de operare; o variantă puternic personalizabilă care se reconstruiește la fiecare oră pentru a evita instrumentele antivirus; o bază de date căutabilă pe un domeniu web clar și site-ul dedicat de scurgeri al adversarului (DLS), care permite vizitatorilor să caute datele scurse; și un mixer Bitcoin integrat în panourile de afiliere.
Pentru mai puțin de o oră, la începutul lunii august 2022, Alphv/BlackCat a pretins că a furat codul sursă de la Unisys, în timpul unui cyberatac. Incidentul s-a produs în realitate, dezvăluie examinarea declarațiilor reglementare ale persoanei în cauză.
PCrisk a descoperit noi variante de ransomware Xorist care adaugă extensiile .WoXoTo sau .RSA-4096 și lasă o notă de răscumpărare numită CUM SĂ DECRYPTEZ FIȘIERELE.txt.
The Week in Ransomware – February 2nd 2024 – No honor among thieves
Rhysida ransomware vrea 3,6 milioane de dolari pentru datele copiilor furate
The Week in Ransomware – January 12th 2024 – Targeting homeowners’ data
Capital Health attack claimed by LockBit ransomware, risk of data leak
Ransomware gang claims they stole 6TB of Change Healthcare data
„
Leave a Reply