FBI, CISA cảnh báo các bệnh viện Hoa Kỳ về các cuộc tấn công ransomware BlackCat có chủ đích

Ngày 27 tháng 2, FBI, CISA và Bộ Y tế và Dịch vụ Nhân sinh (HHS) đã cảnh báo các tổ chức chăm sóc sức khỏe của Hoa Kỳ về các cuộc tấn công ransomware ALPHV/Blackcat có chủ đích.



“Các ALPHV Blackcat được quan sát chủ yếu nhắm mục tiêu vào lĩnh vực chăm sóc sức khỏe”, cố vấn chung cảnh báo.

Cảnh báo ngày 27 tháng 2 cùng với cảnh báo chớp nhoáng của FBI vào tháng 4 năm 2022 và một lời khuyên khác được đưa ra vào tháng 12 năm 2023 nêu chi tiết hoạt động của băng nhóm tội phạm mạng BlackCat kể từ khi nó nổi lên vào tháng 11 năm 2021 với tư cách là nghi phạm được đổi tên thành nhóm ransomware DarkSide và BlackMatter.

FBI đã liên kết BlackCat với hơn 60 vụ vi phạm trong 4 tháng hoạt động đầu tiên (từ tháng 11 năm 2021 đến tháng 3 năm 2022) và cho biết băng nhóm này đã thu về ít nhất 300 triệu USD tiền chuộc từ hơn 1.000 nạn nhân cho đến tháng 9 năm 2023.

Ba cơ quan liên bang cảnh báo trong bản cố vấn chung ngày 27 tháng 2: “Kể từ giữa tháng 12 năm 2023, trong số gần 70 nạn nhân bị rò rỉ, lĩnh vực chăm sóc sức khỏe là nạn nhân thường xuyên nhất”.

“Điều này có thể là để đáp lại bài đăng của quản trị viên ALPHV Blackcat khuyến khích các thành viên của chúng nhắm mục tiêu vào các bệnh viện sau hành động chống lại nhóm và cơ sở hạ tầng của nhóm vào đầu tháng 12 năm 2023.”

FBI, CISA và HHS đã khuyên các tổ chức cơ sở hạ tầng quan trọng thực hiện các biện pháp giảm thiểu cần thiết để giảm thiểu khả năng và tác động của các sự cố tống tiền và tống tiền dữ liệu Blackcat.

Hơn nữa, họ kêu gọi các tổ chức chăm sóc sức khỏe thực hiện các biện pháp bảo vệ an ninh mạng để chống lại các chiến thuật, kỹ thuật và quy trình phổ biến thường được sử dụng trong lĩnh vực Chăm sóc sức khỏe và Y tế Công cộng (HPH).

BlackCat hiện đang sử dụng ScreenConnect để truy cập lần đầu

Lời khuyên được đưa ra ngày 27 tháng 2 sau khi hoạt động ransomware BlackCat có liên quan đến một cuộc tấn công mạng vào công ty con Optum của UnitedHealth Group, gây ra tình trạng ngừng hoạt động liên tục ảnh hưởng đến Change Healthcare, nền tảng trao đổi thanh toán lớn nhất kết nối bác sĩ, nhà thuốc, nhà cung cấp dịch vụ chăm sóc sức khỏe và bệnh nhân trong hệ thống chăm sóc sức khỏe của Hoa Kỳ.

Mặc dù Phó chủ tịch Tập đoàn UnitedHealth, Tyler Mason không xác nhận liên kết BlackCat trong một thông được chia sẻ với BleepingComputer, nhưng ông nói rằng 90% trong số hơn 70.000 hiệu thuốc sử dụng nền tảng bị ảnh hưởng đã chuyển sang quy trình yêu cầu điện tử mới.

Các nguồn quen thuộc với cuộc điều tra nói với BleepingComputer rằng Change Healthcare đã thực hiện các cuộc gọi Zoom với các đối tác trong ngành chăm sóc sức khỏe để cung cấp thông tin cập nhật kể từ khi cuộc tấn công xảy ra với hệ thống của họ.

BleepingComputer biết cuộc tấn công đã được các chuyên gia pháp y điều tra vụ việc liên kết với nhóm ransomware BlackCat và các tác nhân đe dọa đã xâm nhập mạng bằng cách sử dụng lỗ hổng bỏ qua xác thực ScreenConnect quan trọng được khai thác tích cực (CVE-2024-1709).

Mặc dù FBI, CISA và HHS không liên kết lời khuyên ngày 27 tháng 2 với sự cố Change Healthcare, nhưng họ đã chia sẻ các chỉ số về việc tấn công xác nhận báo cáo rằng nhóm ransomware BlackCat đang nhắm mục tiêu vào các máy chủ ScreenConnect dễ bị tấn công để truy cập từ xa vào mạng nạn nhân.

BlackCat ScreenConnect IOC (FBI/CISA/HHS)