Aujourd’hui, le FBI, la CISA et le ministère de la Santé et des Services sociaux (HHS) ont mis en garde les organisations de santé américaines contre des attaques ciblées de ransomware ALPHV/Blackcat.
« Des affiliés d’ALPHV Blackcat ont été observés ciblant principalement le secteur de la santé », prévient l’avis conjoint.
L’avertissement d’aujourd’hui fait suite à une alerte éclair du FBI d’avril 2022 et à un autre avis publié en décembre 2023 détaillant l’activité du gang de cybercriminalité BlackCat depuis qu’il a fait surface en novembre 2021 en tant que changement de nom présumé des groupes de ransomwares DarkSide et BlackMatter.
Le FBI a lié BlackCat à plus de 60 violations au cours de ses quatre premiers mois d’activité (entre novembre 2021 et mars 2022) et a déclaré que le gang avait récolté au moins 300 millions de dollars de rançons auprès de plus de 1000 victimes jusqu’en septembre 2023.
« Depuis la mi-décembre 2023, sur les près de 70 victimes de fuites, le secteur de la santé a été le plus souvent victime », ont averti les trois agences fédérales dans l’avis conjoint d’aujourd’hui.
« Ceci est probablement en réponse au message de l’administrateur d’ALPHV Blackcat encourageant ses affiliés à cibler les hôpitaux après une action opérationnelle contre le groupe et ses infrastructures début décembre 2023. »
Le FBI, la CISA et le HHS ont conseillé aux organisations d’infrastructures critiques de prendre les mesures d’atténuation nécessaires pour minimiser la probabilité et l’impact des incidents de ransomware Blackcat et d’extorsion de données.
De plus, ils ont exhorté les organisations de soins de santé à mettre en œuvre des mesures de cybersécurité pour contrer les tactiques, techniques et procédures courantes couramment utilisées dans le secteur des soins de santé et de la santé publique (HPH).
BlackCat utilise désormais ScreenConnect pour l’accès initial
L’avis d’aujourd’hui intervient après que l’opération de ransomware BlackCat ait été liée à une cyberattaque contre Optum, filiale du groupe UnitedHealth, qui a déclenché une panne en cours ayant un impact sur Change Healthcare, la plus grande plate-forme d’échange de paiements reliant les médecins, les pharmacies, les prestataires de soins de santé et les patients du système de santé américain.
Bien que Tyler Mason, vice-président du groupe UnitedHealth, n’ait pas confirmé le lien BlackCat dans une déclaration partagée avec Breachtrace , il a déclaré que 90% des plus de 70 000 pharmacies utilisant la plate-forme touchée sont passées à de nouveaux processus de réclamation électroniques.
Des sources proches de l’enquête ont déclaré à Breachtrace que Change Healthcare avait effectué des appels Zoom avec des partenaires du secteur de la santé pour fournir des mises à jour depuis que l’attaque avait touché ses systèmes.
Breachtrace a appris que l’attaque avait été liée au groupe de ransomwares BlackCat par des experts médico-légaux enquêtant sur l’incident et que les auteurs de la menace avaient violé le réseau en utilisant la vulnérabilité critical ScreenConnect auth bypass activement exploitée (CVE-2024-1709).
Même si le FBI, la CISA et le HHS n’ont pas lié l’avis d’aujourd’hui à l’incident de Change Healthcare, ils ont partagé des indicateurs de compromission qui confirment notre rapport selon lequel le gang de ransomwares BlackCat cible les serveurs ScreenConnect vulnérables pour un accès à distance aux réseaux des victimes.
Le FBI a perturbé les opérations du gang BlackCat en décembre en supprimant ses sites de négociation et de fuite des termes de référence. Les serveurs du gang ont également été piratés, ce qui a permis aux forces de l’ordre de créer un déchiffreur à l’aide des clés collectées lors d’une intrusion de plusieurs mois.
Black Cat a depuis « saisi » leurs sites et est passé à un nouveau site ou à un site de fuite que le FBI n’a pas encore supprimé.
Le Département d’État américain offre des récompenses allant jusqu’à 10 millions de dollars pour des détails menant à l’identification ou à la localisation des chefs de gangs BlackCat et 5 millions de dollars pour des conseils sur des personnes liées aux attaques de ransomware du groupe.