根据美国联邦调查局 (FBI)、网络安全和基础设施局 (CISA) 以及卫生与公众服务部的联合报告,ALPHV/BlackCat 勒索软件团伙威胁要对执法干预进行报复,并将目标瞄准医疗保健行业(美国卫生与公众服务部)。
据BleepingComputer 报道,该通报发布一天后,该团伙还声称对最近针对 Change Healthcare 的攻击负责,称其窃取了 6TB 数据。据报道,被盗信息包括 Change Healthcare 解决方案源代码以及数千家医疗保健提供商、药房和保险提供商的数据。
“最大的医疗支付交易平台 Change Healthcare 遭受的网络攻击对全国药店产生了重大影响,促使人们采用电子解决方案。AttackIQ 对手研究团队的分会负责人安德鲁·科斯蒂斯 (Andrew Costis) 在一封电子邮件中告诉 SC Media,在针对医疗保健行业的这次重大网络攻击中,这一建议为各组织敲响了警钟,要求他们优先考虑网络安全措施。
FBI 中断后,ALPHV/BlackCat 袭击了近 70 家受害者
周二关于 ALPHV/BlackCat 的联合通报是对 12 月 19 日通报的更新,该通报与司法部发布的公告同时发布,该公告称 FBI 已扰乱勒索软件即服务 (RaaS) 组织并查封了其多个网站。
ALPHV/BlackCat随后“解封”了其网站,并向其附属公司发布了一条消息,表示由于 FBI 的行动,它将取消对攻击关键基础设施的限制。该消息特别将医院和核电站列为潜在目标。
“自2023年12月中旬以来,在近70名泄密受害者中,医疗保健行业是最常受害的行业。这可能是对 ALPHV Blackcat 政府鼓励其附属机构瞄准医院的帖子的回应,”联合咨询声明称。
更新后的指南包括截至 2024 年 2 月与 ALPHV/BlackCat 及其附属公司相关的最新已知妥协指标 (IOC) 以及策略、技术和程序 (TTP)。
“医疗保健组织现在必须优先根据 BlackCat 的 TTP 验证其安全控制,如利用 MITRE ATT&CK 框架的联合咨询中所述。通过模拟 BlackCat 表现出的行为,组织可以评估其安全状况并查明任何漏洞。”Cotis 告诉 SC Media。
美国国务院目前悬赏 1000 万美元,征集有关 ALPHV/BlackCat 领导人身份和位置的信息,并额外悬赏 500 万美元,征集导致该团伙任何附属机构被捕或定罪的信息。
ALPHV/BlackCat 利用远程访问工具,冒充 IT 人员
最初的 12 月 19 日通报和 2 月 27 日的更新均指出 ALPHV/BlackCat 使用了先进的社会工程和远程访问工具。
据 FBI 和 CISA 称,分支机构经常冒充 IT 技术人员或服务台工作人员,从员工那里获取凭证进行初始访问,然后部署 AnyDesk、Mega sync 或 Splashtop 等远程访问软件来协助数据泄露。
ALPHV/BlackCat 附属公司还使用开源中间对手攻击框架 Evilginx2 从受害者系统获取多重身份验证 (MFA) 凭据、登录凭据和会话 cookie,并通过从域控制器获取密码在整个网络中横向移动该咨询指出,本地网络和删除的备份服务器。
该组织声称使用合法的红队模拟工具 Brute Ratel C4 和 Cobalt Strike 作为其命令与控制 (C2) 服务器的信标。
2 月 27 日更新中添加到公告中的 IOC 包括 ALPHV/BlackCat 已知使用的工具的哈希值和文件名,包括其 Windows 和 Linux 加密器以及旨在禁用防病毒软件的工具。
ALPHV/BlackCat 的网络指示器包括 C2 服务器域和 IP 地址,以及 ScreenConnect 远程访问域和 SimpleHelp 远程访问 IP 地址。
“提供的详细 TTP 和 IOC 为检测违规行为和增强安全措施提供了可操作的情报。Critical Start 网络威胁研究高级经理 Callie Guenther 在给 SC Media 的电子邮件中表示:“与 MITRE ATT&CK 框架的一致性有助于结构分析和防御战略制定。”
该指南建议通过将批准的远程访问程序列入白名单来保护远程访问工具。这可以帮助阻止使用未经授权的远程访问软件,即使防病毒解决方案无法检测到它。
还建议使用 FIDO/WebAuthn 身份验证或基于公钥基础设施 (PKI) 的 MFA,因为它可以抵御 ALPHV/BlackCat 使用的网络钓鱼、推送轰炸和 SIM 交换策略。
Bambenek Consulting 总裁 John Bambenek 告诉 SC Media:“除了高水平的最佳实践之外,最重要的建议是部署强大的 MFA,特别是在远程访问系统上,以防止被盗凭证被用来导致勒索软件事件。”
改变医疗保健漏洞可能是持续勒索软件趋势的一部分
虽然运营 Change Healthcare 平台的 Optum 及其母公司 UnitedHealth Group 尚未确认 ALPHV/BlackCat 的隶属关系,但其被列入勒索软件团伙的泄露网站,表明针对医疗保健行业的持续趋势。
BlackFog 首席执行官兼创始人达伦·威廉姆斯 (Darren Williams) 在一封电子邮件中告诉 SC Media:“事实证明,医疗保健行业是勒索软件不可抗拒的目标,2023 年公开的攻击比前一年增加了 134%。” “医疗保健组织拥有大量宝贵且敏感的数据,随时可能被勒索,不幸的是,在许多情况下,网络防御水平根本无法胜任保护这些数据的任务。”
First Health Advisory 和 RedSense 的安全研究人员表示,Change Healthcare 攻击可能涉及对ConnectWise ScreenConnect 关键漏洞的利用,尽管 ConnectWise 在一份声明中表示不知道存在连接,并且 BleepingComputer 报告称 ALPHV/BlackCat 附属公司拒绝使用此漏洞。
FBI、CISA 和 HHS 咨询中包含的 IOC 表明 ALPHV/BlackCat 附属机构已使用 ScreenConnect 进行远程访问,但这并不表明使用了任何特定漏洞。
SC Media 联系了 FBI、CISA 和 HHS,以获取有关 ALPHV/BlackCat 活动和远程访问软件使用的更多信息。CISA 发言人拒绝置评,也没有收到 FBI 或 HHS 的回应。
SC Media 还询问 Optum 发言人该公司是否可以确认 ALPHV/BlackCat 的参与,但没有得到回应。
至于医疗勒索软件泄露的趋势是否会持续下去,Bambenek 告诉 SC Media,由于资源限制,缓解勒索软件攻击将是一场艰苦的战斗。
“不幸的是,许多医疗保健系统的 IT 和网络安全团队很薄弱,如果他们没有完全外包的话。这意味着对于许多医疗保健组织来说,这些最佳实践无法实施,因为没有人这样做,”Bambenek 说。
发表评论
您还未登录,请先登录。
登录