Il governo degli Stati Uniti ha lanciato un avvertimento riguardo alla rinascita degli attacchi ransomware BlackCat (noto anche come ALPHV) che prendono di mira il settore della sanità, verificatisi recentemente. Da metà dicembre 2023, su quasi 70 vittime divulgate, il settore sanitario è stato il più colpito. Questo aumento degli attacchi potrebbe essere una risposta alla richiesta dell’amministratore di ALPHV/BlackCat di prendere di mira gli ospedali dopo un’azione operativa contro il gruppo e la sua infrastruttura all’inizio di dicembre 2023.
L’allarme arriva dal Federal Bureau of Investigation (FBI), dall’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity (CISA) e dal Dipartimento dei Servizi Umani e Sanitari (HHS). L’operazione ransomware BlackCat ha subito un duro colpo alla fine dell’anno scorso a seguito di un’operazione coordinata delle forze dell’ordine che ha portato al sequestro dei suoi siti dark di leak. Tuttavia, il gruppo è riuscito a riprendere il controllo dei siti e a passare a un nuovo portale di leak TOR, rimanendo attivo fino ad oggi.
Il gruppo ha intensificato gli attacchi contro organizzazioni di infrastrutture critiche nelle ultime settimane, rivendicando la responsabilità di attacchi contro Prudential Financial, LoanDepot, Trans-Northern Pipelines e la filiale di UnitedHealth Group, Optum.
Questa situazione ha spinto il governo degli Stati Uniti a offrire ricompense finanziarie fino a 15 milioni di dollari per informazioni che portino all’identificazione dei membri chiave e degli affiliati del gruppo e-criminale.
BlackCat ha sfruttato le recenti vulnerabilità critiche di sicurezza nel software di desktop remoto e accesso ScreenConnect di ConnectWise per violare la rete di Optum. Tuttavia, BlackCat ha negato l’uso delle vulnerabilità di ConnectWise nel suo attacco contro Optum.
Le vulnerabilità, che consentono l’esecuzione remota di codice sui sistemi suscettibili, sono state sfruttate da altri gruppi ransomware come Black Basta e Bl00dy, nonché da altri attori della minaccia per consegnare Cobalt Strike Beacons, XWorm e strumenti di gestione remota.
L’esploso sfruttamento di queste due vulnerabilità è stato accompagnato da avversari che sfruttano ScreenConnect e distribuiscono una nuova variante Windows di KrustyLoader, precedentemente avvistato in una campagna che prendeva di mira vulnerabilità critiche negli apparecchi Ivanti Connect Secure.
