ФБР, CISA и HHS предупреждают о нашествии программ-вымогателей, атакующие медучреждения

ФБР, CISA и Министерство здравоохранения и социальных служб (HHS) выпустили совместную рекомендацию для организаций здравоохранения по всей территории Соединённых Штатов, предостерегая от целенаправленных атак программ-вымогателей, организованных группировкой ALPHV/Blackcat.

В уведомлении агентства предупредили о растущей угрозе, исходящей от филиалов ALPHV/Blackcat, особенно нацеленной на сектор здравоохранения. Это предупреждение является последним в серии уведомлений с подробным описанием появления киберпреступной группировки BlackCat.

С момента своего создания в ноябре 2021 года группа BlackCat, подозреваемая в ребрендинге банды вымогателей DarkSide и BlackMatter, была связана с более чем 60 утечками данных и по состоянию на декабрь 2023 года собрала ошеломляющие 300 миллионов долларов в виде выкупа от более чем 1 000 жертв.

Наибольшую обеспокоенность вызывает недавний всплеск атак программ-вымогателей на медицинские организации, причём группировка ALPHV/Blackcat нацелилась на больницы в ответ на сбои в работе и репрессии в инфраструктуре со стороны международных полицейских сил. Агентства подчеркнули настоятельную необходимость для организаций критической инфраструктуры внедрить надёжные меры по снижению риска атак программ-вымогателей Blackcat.

Сегодняшнее предупреждение появилось после кибератаки на дочернюю компанию UnitedHealth Group Optum, что привело к продолжающемуся сбою, затронувшему Change Healthcare, ключевую платформу обмена платежами в системе здравоохранения США. Несмотря на то, что UnitedHealth Group воздержалась от подтверждения связи с BlackCat, судебно-медицинские эксперты, расследующие инцидент, установили причастность группы.

Атака, использующая критическую уязвимость обхода аутентификации ScreenConnect (CVE-2024-1709), подчёркивает настоятельную необходимость повышенной бдительности и упреждающих мер для защиты от угроз программ-вымогателей.

Несмотря на то, что ФБР предприняло шаги, чтобы сорвать работу BlackCat, в том числе демонтировало сайты переговоров и утечек Tor, группа продолжает существовать. Государственный департамент предложил существенное вознаграждение за информацию, ведущую к идентификации или местонахождению лидеров BlackCat, подчеркнув серьёзность угрозы, исходящей от групп программ-вымогателей.