أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيرًا استشاريًا محدثًا لإصدار جديد من خزانة برامج الفدية ALPHV/BlackCat، والتي لاحظت أنها تستهدف المنظمات في الولايات المتحدة، وخاصة في قطاع الرعاية الصحية.
التوجيه الجديد، الذي تم نشره جنبًا إلى جنب مع مختلف وكالات إنفاذ القانون و يمكن مشاهدتها بالكامل هنا، يشكل جزءًا من حملة #StopRansomware المستمرة التابعة لـ CISA.
كان ALPHV/BlackCat موضوع لدغة مكتب التحقيقات الفيدرالي في ديسمبر 2023، لكن مشغلي برامج الفدية كانوا سريعًا في تجاهل التأثير على أنفسهم وعلى المنتسبين إلى الطاقم، ومن بينهم المجموعة المعروفة باسم العنكبوت المتناثر/عاصفة أكتوبر، العملية التي تقف وراء هجمات لاس فيغاس الإلكترونية في خريف 2023.
تقوم النصائح الجديدة بتحديث عدد من النصائح السابقة، والتي تم إصدارها مؤخرًا في وقت إزالة مكتب التحقيقات الفيدرالي، وتكشف أن عصابة برامج الفدية كانت تتخذ خطوات للتعافي.
“لقد استخدم ممثلو ALPHV/BlackCat منذ ذلك الحين أساليب اتصال مرتجلة من خلال إنشاء رسائل بريد إلكتروني خاصة بالضحية للإخطار بالتسوية الأولية”، كما يشير التحذير.
“منذ منتصف ديسمبر 2023، من بين ما يقرب من 70 ضحية تم تسريبها، كان قطاع الرعاية الصحية هو الضحية الأكثر شيوعًا. من المحتمل أن يكون هذا ردًا على منشور مسؤول ALPHV/BlackCat الذي يشجع الشركات التابعة له على استهداف المستشفيات بعد الإجراء التشغيلي ضد المجموعة وبنيتها التحتية في أوائل ديسمبر 2023.
يوضح الاستشارة أيضًا تفاصيل إصدار تحديث ALPHV/BlackCat 2.0 Sphynx في وقت سابق من شهر فبراير. تمت إعادة كتابة الإصدار الجديد من ALPHV/BlackCat لتقديم ميزات جديدة للشركات التابعة، بما في ذلك إمكانات أفضل للتهرب الدفاعي وأدوات جديدة تتيح له تشفير ليس فقط أجهزة Windows وLinux، ولكن أيضًا بيئات VMware.
كانت الشركات التابعة لـ ALPHV/BlackCat مشهورة في السابق باستخدام تكتيكات الهندسة الاجتماعية المتقدمة لوضع الأساس لهجمات برامج الفدية الخاصة بها، وغالبًا ما تتظاهر بأنها موظفي تكنولوجيا المعلومات أو مكتب المساعدة التابعين للضحية للحصول على بيانات الاعتماد، ولا يبدو أن هذا التكتيك قد تغير.
بعد تحقيق الوصول، يستخدم التابع العادي قواعد اللعبة القياسية إلى حد ما مستغلًا أدوات وأطر الوصول المشروعة عن بعد مثل Brute Ratel وCobalt Strike لأغراض القيادة والتحكم، وتطبيقات مثل Metasploit لتجنب الكشف، وخدمات مثل Mega.nz و Dropbox لتصفية البيانات قبل تنفيذ الخزانة الخاصة بهم.
أصبحت بعض الشركات التابعة من دعاة التقنية التي لا يتم من خلالها نشر برامج فدية فعلية، وتنتقل مباشرة إلى مرحلة سرقة البيانات والابتزاز.
وتأتي الاستشارة في ما يلي هجوم إلكتروني أمريكي كبير ضد منظمة Change Healthcare، وهي شركة تقدم خدمات الدفع وإدارة الإيرادات في المستشفيات الأمريكية، والتي كانت في وقت كتابة هذا التقرير قد عطلت الصيدلة وغيرها من الخدمات في أجزاء متعددة من البلاد لأكثر من أسبوع.
تم ربط هذا الهجوم بـ ALPHV/BlackCat وكانت هناك تكهنات بأنه ربما نشأ من خلال استغلال يوم الصفر الحرج في منتج ConnectWise ScreenConnect.
“لقد أثر الهجوم السيبراني على Change Healthcare، أكبر منصة لتبادل مدفوعات الرعاية الصحية، بشكل كبير على الصيدليات في جميع أنحاء البلاد، مما دفع إلى اعتماد الحلول الإلكترونية،” أندرو كوستيس، رئيس الفصل في AttackIQ أخبر فريق أبحاث الخصم مجلة Computer Weekly عبر البريد الإلكتروني.
“إن الكم الهائل من بيانات المرضى الحساسة المخزنة داخل أنظمة الرعاية الصحية يجعل هذه المنظمات هدفًا خطيرًا لمجموعات برامج الفدية، مع احتمال حدوث عواقب بعيدة المدى. يمكن أن تؤدي هذه الهجمات إلى شل العمليات التنظيمية، والأهم من ذلك، تعريض صحة المرضى وسلامتهم للخطر.
“يجب على مؤسسات الرعاية الصحية الآن إعطاء الأولوية للتحقق من صحة ضوابطها الأمنية ضد TTPs الخاصة بـ BlackCat كما هو موضح في الاستشارة المشتركة التي تستفيد من إطار عمل MITRE ATT&CK. ومن خلال محاكاة السلوكيات التي يعرضها BlackCat، يمكن للمؤسسات تقييم أوضاعها الأمنية وتحديد أي نقاط ضعف. وقال كوستيس إن هذا النهج الاستباقي ضروري للتخفيف من مخاطر الهجمات المستقبلية.
