Bugün FBI, CISA ve Sağlık ve İnsani Hizmetler Bakanlığı (HHS), ABD sağlık kuruluşlarını hedefli ALPHV/Blackcat fidye yazılımı saldırılarına karşı uyardı.
Ortak danışma belgesinde “ALPHV Blackcat bağlı kuruluşlarının öncelikli olarak sağlık sektörünü hedef aldığı gözlemlendi” uyarısı yapılıyor.
Bugünkü uyarı, Nisan 2022’de FBI’ın flaş uyarısını ve Aralık 2023’te yayınlanan ve BlackCat siber suç çetesinin DarkSide ve BlackMatter fidye yazılımı gruplarının şüpheli bir yeniden markası olarak Kasım 2021’de ortaya çıkmasından bu yana faaliyetlerini ayrıntılarıyla anlatan başka bir tavsiye belgesinin ardından geldi.
FBI, BlackCat’in faaliyet gösterdiği ilk dört ay boyunca (Kasım 2021 ile Mart 2022 arasında) 60’tan fazla ihlalle ilişkilendirildi ve çetenin Eylül 2023’e kadar 1.000’den fazla kurbandan en az 300 milyon dolar fidye aldığını söyledi.
Üç federal kurum bugünkü ortak danışma belgesinde, “Aralık 2023’ün ortasından bu yana, sızdırılan yaklaşık 70 kurban arasında en çok sağlık sektörü mağdur oldu.” uyarısında bulundu.
“Bu muhtemelen ALPHV Blackcat yöneticisinin, Aralık 2023’ün başlarında gruba ve altyapısına karşı operasyonel eylem sonrasında bağlı kuruluşlarını hastaneleri hedef almaya teşvik eden gönderisine bir yanıttır.”
FBI, CISA ve HHS, kritik altyapı kuruluşlarına, Blackcat fidye yazılımı ve veri gaspı olaylarının olasılığını ve etkisini en aza indirmek için gerekli hafifletme önlemlerini almalarını tavsiye etti.
Dahası, sağlık kuruluşlarına, Sağlık ve Kamu Sağlığı (HPH) sektöründe yaygın olarak kullanılan yaygın taktik, teknik ve prosedürlere karşı siber güvenlik önlemlerini uygulamaya çağrıda bulundular.
BlackCat artık ilk erişim için ScreenConnect’i kullanıyor
Bugünkü uyarı, BlackCat fidye yazılımı operasyonunun UnitedHealth Group yan kuruluşu Optum’a yapılan ve ABD sağlık sistemindeki doktorları, eczaneleri, sağlık hizmeti sağlayıcılarını ve hastaları birbirine bağlayan en büyük ödeme değişim platformu Change Healthcare’i etkileyen devam eden bir kesintiyi tetikleyen bir siber saldırıyla bağlantılı olmasının ardından geldi.
UnitedHealth Grubu Başkan Yardımcısı Tyler Mason, BleepingComputer ile paylaşılan bir açıklamada BlackCat bağlantısını doğrulamasa da, etkilenen platformu kullanan 70.000’den fazla eczanenin %90’ının yeni elektronik talep süreçlerine geçtiğini söyledi.
Soruşturmaya aşina olan kaynaklar BleepingComputer’a, Change Healthcare’in, saldırı sistemlerine çarptığından beri güncellemeler sağlamak için sağlık sektöründeki ortaklarla Zoom görüşmeleri yürüttüğünü söyledi.
BleepingComputer, olayı araştıran adli tıp uzmanları tarafından saldırının BlackCat fidye yazılımı grubuyla bağlantılı olduğunu ve tehdit aktörlerinin aktif olarak yararlanılan kritik ScreenConnect kimlik doğrulama atlama güvenlik açığını (CVE-2024-1709) kullanarak ağı ihlal ettiğini öğrendi.
Her ne kadar FBI, CISA ve HHS bugünkü tavsiyeyi Sağlık Hizmetlerini Değiştir olayıyla ilişkilendirmemiş olsa da, BlackCat fidye yazılımı çetesinin kurban ağlarına uzaktan erişim için savunmasız ScreenConnect sunucularını hedeflediği yönündeki raporumuzu doğrulayan tehlike göstergeleri paylaştılar.
FBI, Aralık ayında Tor müzakere ve sızıntı sitelerini kapatarak BlackCat çetesinin operasyonlarını kesintiye uğrattı. Çetenin sunucuları da saldırıya uğradı ve bu, kolluk kuvvetlerinin aylarca süren izinsiz giriş sırasında toplanan anahtarları kullanarak bir şifre çözücü oluşturmasına olanak sağladı.
BlackCat o zamandan beri sitelerini “geri aldı” ve FBI’ın henüz kapatmadığı yeni bir Tor sızıntı sitesine geçti.
ABD Dışişleri Bakanlığı, BlackCat çete liderlerinin kimliğinin veya konumunun belirlenmesine yol açan ayrıntılar için 10 milyon dolara kadar, grubun fidye yazılımı saldırılarıyla bağlantılı kişilerle ilgili ipuçları için ise 5 milyon dolara kadar ödül sunuyor.