米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、ALPHV/BlackCatランサムウェアロッカーの新バージョンについて、米国の主に医療分野の組織を標的にしていることを確認した最新の勧告警告を発表した。
この新しいガイダンスは、さまざまな法執行機関とともに公開されており、ここで全文を閲覧できますが、CISA が継続中の #StopRansomware キャンペーンの一部を構成しています。
ALPHV/BlackCat は 2023 年 12 月に FBI のおとり捜査の対象となったが、ランサムウェア オペレータは自分たちと、2023 年秋に計画された作戦の背後にある Scattered Spider/Octo Tempest として知られるグループを含む乗組員の関連会社への影響をすぐに無視した。ラスベガスのサイバー攻撃。
新しい勧告は、FBI の取り締まり時に最近発行された以前の勧告の多くを更新し、ランサムウェアギャングが回復に向けた措置を講じていることを明らかにしています。
「それ以来、ALPHV/BlackCat の攻撃者は、最初の侵害を通知するために被害者固有の電子メールを作成するという即席の通信手段を使用している」と勧告には記載されています。
「2023年12月中旬以降、約70件の情報漏えい被害者のうち、最も多くの被害を受けたのは医療部門でした。 これはおそらく、2023年12月初旬に同グループとそのインフラに対する作戦行動を行った後、関連会社に病院を標的にするよう奨励するALPHV/BlackCat管理者の投稿に反応したものと思われる。」
このアドバイザリでは、2 月初旬の ALPHV/BlackCat 2.0 Sphynx アップデートのリリースについても詳しく説明されています。 ALPHV/BlackCat の新バージョンは、防御回避機能の強化や、Windows や Linux デバイスだけでなく VMware 環境も暗号化できる新しいツールなどの新機能を関連会社に提供するために書き直されました。
ALPHV/BlackCat の関連会社は、ランサムウェア攻撃の基礎を築くために高度なソーシャル エンジニアリング戦術を使用することで以前から知られており、多くの場合、被害者の IT スタッフまたはヘルプデスク スタッフを装って認証情報を取得していましたが、この戦術は変わっていないようです。
平均的なアフィリエイターは、アクセスを獲得した後、コマンドアンドコントロールの目的で Brute Ratel や Cobalt Strike などの正規のリモート アクセス ツールやフレームワーク、検出を回避するための Metasploit などのアプリケーション、Mega.nz や Mega.nz などのサービスを悪用する、かなり標準的なプレイブックを使用します。 Dropbox はロッカーを実行する前にデータを抜き出す。
一部のアフィリエイトは、実際のランサムウェアを展開せずに、データの盗難と恐喝の段階に直接移行する手法の支持者となっています。
この勧告は、米国の病院で支払いと収益管理を提供するChange Healthcareに対する米国の大規模なサイバー攻撃を受けて発表されたもので、本稿執筆時点では国内の複数の地域で1週間以上にわたって薬局やその他のサービスが中断されていた。
この攻撃は ALPHV/BlackCat に関連しており、ConnectWise ScreenConnect 製品の重要なゼロデイの悪用によって発生したのではないかという憶測がありました。
「最大の医療支払い交換プラットフォームであるChange Healthcareへのサイバー攻撃は、全国の薬局に大きな影響を与え、電子的回避策の導入を促しています」と、 AttackIQ の攻撃者調査チームの支部長である Andrew Costis 氏は電子メールで Computer Weekly に語った。
「医療システム内に膨大な量の患者の機密データが保存されているため、これらの組織はランサムウェア グループの危険な標的となり、広範囲にわたる影響をもたらす可能性があります。 これらの攻撃は組織の運営に支障をきたし、さらに重要なことに、患者の健康と安全を損なう可能性があります。
「医療機関は現在、MITRE ATT&CK フレームワークを活用した共同勧告に概要が示されているように、BlackCat の TTP に対するセキュリティ管理の検証を優先する必要があります。 BlackCat が示す動作をエミュレートすることで、組織はセキュリティ体制を評価し、脆弱性を正確に特定できます。 この積極的なアプローチは、将来の攻撃のリスクを軽減するために不可欠です」とコティス氏は述べています。