FBI, ABD Sağlık Sektörünü Hedefli BlackCat Fidye Yazılımı Saldırılarına Karşı Uyardı
ABD hükümeti, bu ay sağlık sektörünü hedef alan BlackCat (diğer adıyla ALPHV) fidye yazılımı saldırılarının yeniden canlanması konusunda uyarıda bulunuyor.
Hükümet, güncellenmiş bir danışma belgesinde, "Aralık 2023'ün ortasından bu yana, sızdırılan yaklaşık 70 kurban arasında en çok mağdur edilen sektör sağlık sektörü oldu" dedi.
"Bu muhtemelen, ALPHV/BlackCat yöneticisinin Aralık 2023'ün başlarında gruba ve altyapısına karşı operasyonel eylemin ardından bağlı kuruluşlarını hastaneleri hedef almaya teşvik eden gönderisine yanıt olarak geldi."
Uyarı, Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Sağlık ve İnsan Hizmetleri Departmanı'nın (HHS) izniyle geliyor.
BlackCat fidye yazılımı operasyonu, koordineli bir kolluk kuvveti operasyonunun karanlık sızıntı sitelerinin ele geçirilmesine yol açmasının ardından geçen yılın sonlarında büyük bir darbe aldı. Ancak grup, sitelerin kontrolünü yeniden ele geçirmeyi başardıktan ve bugüne kadar aktif kalmaya devam eden yeni bir TOR veri sızıntısı portalına geçtikten sonra yayından kaldırma başarısız oldu.
Ayrıca, Prudential Financial, LoanDepot, Trans-Northern Pipelines ve UnitedHealth Group yan kuruluşu Optum'a yönelik saldırıların sorumluluğunu üstlenerek son haftalarda kritik altyapı kuruluşlarına yönelik saldırıları artırdı.
Gelişme, ABD hükümetini, e-suç grubunun kilit üyelerinin yanı sıra bağlı kuruluşlarının belirlenmesine yol açan bilgiler için 15 milyon dolara kadar mali ödül açıklamaya sevk etti.
BlackCat'in fidye yazılımı çılgınlığı, geçen hafta Birleşik Krallık Ulusal Suç Ajansı (NCA) liderliğindeki benzer kesinti çabalarının ardından LockBit'in geri dönüşüyle aynı zamana denk geliyor. Zscaler ThreatLabz, fidye yazılımı çetesinin şifreleyicisinin fidye notlarını yeni altyapıya işaret eden TOR URL'leri ile güncellediğini söyledi.
SC Magazine'in bir raporuna göre, tehdit aktörleri, ConnectWise'ın ScreenConnect uzak masaüstü ve erişim yazılımında yakın zamanda açıklanan kritik güvenlik açıklarından yararlanarak Optum'un ağını ihlal etti.
Ancak BlackCat, Optum'a karşı saldırısında ConnectWise kusurlarını kullandığını reddetti. "Tüm bu siber istihbarat sözde uzman aptallar için, ConnectWise istismarını ilk erişimimiz olarak kullanmadık, bu nedenle insanlara anlattığınız raporlarınızı çocuk spekülasyonlarına değil, gerçek gerçeklere dayandırmalısınız" dedi.
Hassas sistemlerde uzaktan kod yürütülmesine izin veren kusurlar, Black Basta ve Bl00dy fidye yazılımı çetelerinin yanı sıra diğer tehdit aktörleri tarafından Cobalt Strike Beacons, XWorm ve Atera, Syncro ve hatta başka bir ScreenConnect istemcisi gibi uzaktan yönetim araçları sunmak için silah haline getirildi.
İki güvenlik açığının kitlesel olarak istismar edilmesi, saldırganların ScreenConnect'ten yararlanması ve daha önce Ivanti Connect Secure cihazlarındaki kritik güvenlik açıklarını hedefleyen bir kampanyanın parçası olarak tespit edilen KrustyLoader'ın yeni bir Windows varyantını dağıtmasıyla da tamamlandı.
Saldırı yüzeyi yönetim firması Censys, 27 Şubat 2024 itibariyle, çoğunluğu ABD, Kanada, Birleşik Krallık, Avustralya, Almanya, Fransa, Hindistan, Hollanda, Türkiye ve İrlanda'da bulunan en az 3.400 potansiyel olarak savunmasız ScreenConnect ana bilgisayarını çevrimiçi olarak gözlemlediğini söyledi.
Censys güvenlik araştırmacısı Himaja Motheram, "ScreenConnect gibi uzaktan erişim yazılımlarının tehdit aktörleri için birincil hedef olmaya devam ettiği açık" dedi.
Bulgular, RansomHouse, Rhysida ve Backmydata adlı bir Phobos varyantı gibi fidye yazılımı gruplarının ABD, İngiltere, Avrupa ve Orta Doğu'daki çeşitli kuruluşları tehlikeye atmaya devam etmesiyle ortaya çıktı.
Bu siber suç gruplarının daha incelikli ve sofistike taktiklere geçtiğinin bir işareti olarak, RansomHouse'un dosya şifreleyen kötü amaçlı yazılımları geniş ölçekte dağıtmak için MrAgent adlı özel bir araç kullandığı tespit edildi.
Trellix, "MrAgent, yalnızca çok sayıda hipervizör sistemine sahip büyük ortamlarda fidye yazılımlarının dağıtımını otomatikleştirmek ve izlemek amacıyla [VMware ESXi] hipervizörleri üzerinde çalışmak üzere tasarlanmış bir ikilidir" dedi. MrAgent'ın detayları ilk olarak Eylül 2023'te ortaya çıktı.
KELA, bazı fidye yazılımı grupları tarafından benimsenen bir diğer önemli taktiğin, kendi blogları, Telegram kanalları veya veri sızıntısı web siteleri aracılığıyla yeni bir para kazanma yöntemi olarak doğrudan ağ erişiminin satışı olduğunu söyledi.
Ayrıca, Aralık 2023'te yeraltı forumlarında ortaya çıkan ve o zamandan beri yaratıcısı tarafından BreachForums'ta ücretsiz olarak kullanıma sunulan Kryptina olarak bilinen Linux'a özgü, C tabanlı bir fidye yazılımı tehdidinin halka açık olarak yayınlanmasını takip ediyor.
SentinelOne araştırmacısı Jim Walter, "Kapsamlı belgelerle birlikte RaaS kaynak kodunun yayınlanması, Linux sistemlerine yönelik fidye yazılımı saldırılarının yayılması ve etkisi üzerinde önemli etkilere sahip olabilir" dedi.
"Fidye yazılımı oluşturucunun çekiciliğini ve kullanılabilirliğini artırması ve siber suç ekosistemine daha düşük vasıflı katılımcıları çekmesi muhtemeldir. Ayrıca, birden fazla spin-off'un gelişmesine ve saldırılarda artışa yol açması konusunda da önemli bir risk var."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı