Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ALPHV/BlackCat fidye yazılımı dolabının yeni bir sürümüne ilişkin güncellenmiş bir tavsiye niteliğinde uyarı yayınladı; bunun ABD’deki, özellikle sağlık sektöründeki kuruluşları hedef aldığını gözlemledi.
Çeşitli kolluk kuvvetleriyle birlikte yayınlanan ve buradan tam olarak görüntülenebilen yeni kılavuz, CISA’nın devam eden #StopRansomware kampanyasının bir parçasını oluşturuyor.
ALPHV/BlackCat, Aralık 2023’te bir FBI saldırısına maruz kaldı, ancak fidye yazılımı operatörleri, kendileri ve 2023 sonbaharının arkasındaki operasyon olan Scattered Spider/Octo Tempest olarak bilinen grup da dahil olmak üzere mürettebatın bağlı kuruluşları üzerindeki etkiyi umursamamakta hızlı davrandılar. Las Vegas siber saldırıları.
Yeni tavsiye belgesi, en son FBI’ın çökertilmesi sırasında yayınlanmış olan önceki bazı tavsiyeleri güncelliyor ve fidye yazılımı çetesinin, durumu kurtarmak için adımlar attığını ortaya koyuyor.
Tavsiye notu, “ALPHV/BlackCat aktörleri o zamandan bu yana, ilk tehlikeyi bildirmek için kurbanlara özel e-postalar oluşturarak doğaçlama iletişim yöntemleri kullandı.”
“Aralık 2023’ün ortasından bu yana sızdırılan 70’e yakın mağdur arasında en çok mağdur edilen sektör sağlık sektörü oldu. Bu muhtemelen ALPHV/BlackCat yöneticisinin, Aralık 2023’ün başlarında gruba ve altyapısına karşı operasyonel eylem sonrasında bağlı kuruluşlarını hastaneleri hedef almaya teşvik eden gönderisine bir yanıttır.”
Uyarı belgesinde ayrıca ALPHV/BlackCat 2.0 Sphynx güncellemesinin Şubat ayının başında yayımlanmasının ayrıntıları da yer alıyor. ALPHV/BlackCat’in yeni sürümü, bağlı kuruluşlara daha iyi savunmadan kaçınma yetenekleri ve yalnızca Windows ve Linux cihazlarını değil aynı zamanda VMware ortamlarını da şifrelemesine olanak tanıyan yeni araçlar da dahil olmak üzere yeni özellikler sunmak üzere yeniden yazıldı.
ALPHV/BlackCat bağlı kuruluşları daha önce fidye yazılımı saldırılarına zemin hazırlamak için gelişmiş sosyal mühendislik taktikleri kullanmalarıyla dikkat çekiyordu; kimlik bilgilerini almak için genellikle kurbanın BT veya yardım masası personeli gibi davranıyorlardı ve bu taktik değişmemiş gibi görünüyor.
Ortalama bir üye, erişim sağladıktan sonra komuta ve kontrol amacıyla Brute Ratel ve Cobalt Strike gibi meşru uzaktan erişim araçlarından ve çerçevelerinden, tespitten kaçınmak için Metasploit gibi uygulamalardan ve Mega.nz ve gibi hizmetlerden yararlanan oldukça standart bir taktik kitabı kullanır. Dolaplarını çalıştırmadan önce verileri dışarı çıkarmak için Dropbox.
Bazı bağlı kuruluşlar, gerçek bir fidye yazılımının kullanılmadığı tekniğin üsleri haline geldi ve doğrudan veri hırsızlığı ve gasp aşamasına geçti.
Bu tavsiye, Amerikan hastanelerinde ödeme ve gelir yönetimi sağlayıcısı olan Change Healthcare’e karşı düzenlenen ve bu yazının yazıldığı sırada ülkenin birçok yerinde eczane ve diğer hizmetleri bir haftadan fazla süreyle kesintiye uğratan büyük bir ABD siber saldırısının ardından geldi.
Bu saldırı ALPHV/BlackCat ile bağlantılıdır ve ConnectWise ScreenConnect ürünündeki kritik sıfır günün istismar edilmesi yoluyla ortaya çıkmış olabileceği yönünde spekülasyonlar mevcuttur.
AttackIQ’nun Rakip Araştırma Ekibi bölüm başkanı Andrew Costis, Computer Weekly’e e-posta yoluyla şunları söyledi: “En büyük sağlık hizmeti ödeme alışverişi platformu olan Change Healthcare’e yapılan siber saldırı, ülke çapındaki eczaneleri önemli ölçüde etkileyerek elektronik geçici çözümlerin benimsenmesine yol açtı.”
“Sağlık sistemlerinde depolanan büyük miktardaki hassas hasta verileri, bu kuruluşları fidye yazılımı grupları için tehlikeli bir hedef haline getiriyor ve geniş kapsamlı sonuçlar doğurma potansiyeli taşıyor. Bu saldırılar kurumsal operasyonları sekteye uğratabilir ve daha da önemlisi hasta sağlığı ve güvenliğini tehlikeye atabilir.
“Sağlık kuruluşları artık güvenlik kontrollerini, MITRE ATT&CK çerçevesinden yararlanan ortak danışma belgesinde belirtildiği gibi BlackCat’in TTP’lerine göre doğrulamaya öncelik vermeli. Kuruluşlar, BlackCat’in sergilediği davranışları taklit ederek güvenlik durumlarını değerlendirebilir ve tüm güvenlik açıklarını tespit edebilir. Costis, bu proaktif yaklaşımın gelecekteki saldırı riskini azaltmak için hayati önem taşıdığını söyledi.