Après une opération de police, Alphv/BlackCat s'attaque aux hôpitaux

Selon un avis de l'Agence américaine de la sécurité des infrastructures et de la cybersécurité (Cisa), le gang du ransomware Alphv/BlackCat a agressivement ciblé les établissements de santé tels que les hôpitaux, malgré une opération de police conduite à la fin de l'année dernière.

Le 19 décembre, le ministère américain de la justice avait annoncé une action coordonnée contre Alphv/BlackCat, un gang prolifique de ransomware-as-a-service (RaaS) qui a revendiqué la responsabilité de plusieurs attaques très médiatisées, comme celle, dévastatrice, dont a été victime le géant du jeu MGM Resorts. L'opération de démantèlement a été menée par le FBI et a bénéficié de la collaboration d'Europol ainsi que d'organismes chargés de l'application de la loi dans des pays tels que l'Allemagne, l'Espagne, le Royaume-Uni, l'Australie et d'autres.

Dans le cadre de cette opération, le FBI, avec l'aide d'un informateur, a saisi plusieurs sites web exploités par le gang et a mis au point un outil de décryptage.

Bien que l'action ait perturbé l'opération RaaS, les activités du gang se sont poursuivies. Mardi, la Cisa a publié un avis avertissant que, depuis la mi-décembre, le secteur de la santé est le plus touché parmi les quelque 70 victimes de fuites d'Alphv/BlackCat. « Il s'agit probablement d'une réponse au message de l'administrateur d'ALPHV Blackcat encourageant ses affiliés à viser les hôpitaux après l'action opérationnelle contre le groupe et son infrastructure au début du mois de décembre 2023 », peut-on lire dans la mise à jour de l'avis.

En plus de mettre en garde contre la menace qui pèse sur les organismes de santé, l'avis de la Cisa contient de nouvelles informations sur les tactiques et les techniques du gang. Les acteurs d'Alphv/BlackCat recueillent des informations de source ouverte sur une entreprise cible et utilisent des « techniques d'ingénierie sociale avancées » pour obtenir un accès initial, en se faisant passer pour des membres du personnel de l'assistance informatique ou du service d'assistance par le biais d'appels téléphoniques et de messages textuels.

« Après avoir accédé au réseau d'une victime, les affidés d'ALPHV Blackcat déploient des logiciels d'accès à distance tels que AnyDesk, Mega sync et Splashtop pour préparer l'exfiltration des données. Les affiliés d'ALPHV Blackcat créent un compte utilisateur, 'aadmin', et utilisent la génération de jetons Kerberos pour l'accès au domaine », a déclaré la CISA.

TechTarget a demandé à la Cisa si deux failles largement exploitées dans le logiciel d'administration à distance ConnectWise ScreenConnect, CVE-2024-1709 et CVE-2024-1708, ont été utilisées dans les attaques récentes. L'agence n'a pas fourni de commentaires à l'heure actuelle.

Cette mise à jour fait suite à une attaque avec ransomware révélée la semaine dernière par le géant des logiciels de paiement des soins de santé Change Healthcare - une attaque qui a entraîné des interruptions de service pour les prestataires de soins de santé tels que les pharmacies à travers les États-Unis. Alphv/BlackCat a épinglé mercredi Change Healthcare sur son site vitrine. Dans un message d'accompagnement, le gang a nié avoir utilisé les récentes failles de ConnectWise ScreenConnect et a déclaré avoir obtenu des données sensibles pour des géants de la santé tels que CVS CareMark, MetLife, Medicare et d'autres.