As principais agências federais dos Estados Unidos, incluindo o FBI, a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Departamento de Saúde e Serviços Humanos (HHS), emitiram um alerta crítico para organizações de saúde em todo o país. Este aviso refere-se a ataques direcionados utilizando o ransomware conhecido como ALPHV, também chamado de BlackCat.
O ransomware ALPHV/BlackCat foi identificado pela primeira vez em novembro de 2021, marcando uma fase preocupante de ataques cibernéticos com fins lucrativos. Essa modalidade de ransomware é considerada uma evolução dos grupos DarkSide e BlackMatter, conhecidos por suas ações disruptivas em infraestruturas críticas. Desde o seu surgimento, o BlackCat tem sido associado a mais de 60 violações de segurança nos seus primeiros quatro meses de atividade, arrecadando mais de 300 milhões de dólares em resgates de mais de 1.000 vítimas até setembro de 2023.
Setor de saúde como alvo do BlackCat
Recentemente, tem sido observado um aumento alarmante nos ataques direcionados ao setor de saúde. Conforme reportado pelas agências, quase 70 vítimas vazadas desde meados de dezembro de 2023 pertencem a este setor, o que representa um risco significativo para a continuidade dos serviços de saúde e proteção dos dados dos pacientes. Este foco pode ser uma resposta direta à ação operacional contra o grupo e sua infraestrutura, motivando um apelo do administrador do ALPHV BlackCat para que suas afiliadas priorizem hospitais e outras organizações de saúde em suas campanhas maliciosas, mostra o Bleeping Computer.
Medidas de mitigação e aconselhamento
Em resposta a estas ameaças, o FBI, a CISA e o HHS aconselharam as organizações de infraestrutura crítica a adotarem medidas de mitigação imediatas. Estas medidas visam minimizar a probabilidade e o impacto de incidentes de ransomware e extorsão de dados. Além disso, há um incentivo para que as organizações de saúde implementem salvaguardas de segurança cibernética eficazes, contrariando táticas, técnicas e procedimentos comumente utilizados contra o setor de Cuidados de Saúde e Saúde Pública (HPH).
Outra ocorrência vinculada ao ransomware BlackCat foi o ataque cibernético à Optum, uma subsidiária do UnitedHealth Group. Este ataque desencadeou uma interrupção significativa na Change Healthcare, a maior plataforma de troca de pagamentos que conecta médicos, farmácias, prestadores de serviços de saúde e pacientes nos Estados Unidos. Apesar da falta de confirmação oficial do vínculo do BlackCat com este incidente, foi relatado que uma vulnerabilidade crítica de desvio de autenticação no ScreenConnect (CVE-2024-1709) foi explorada pelos atores da ameaça.
Resposta das agências federais
Em uma ação decisiva contra a gangue BlackCat, o FBI interrompeu suas operações em dezembro, derrubando seus sites de negociação e vazamento na rede Tor. Os servidores do grupo foram igualmente comprometidos, permitindo que as autoridades desenvolvessem um descriptografador com as chaves coletadas. Este esforço conjunto das agências federais sublinha a seriedade com que os Estados Unidos estão tratando a ameaça do ransomware, além de enfatizar a importância da colaboração internacional na luta contra o cibercrime.
Como parte da estratégia para combater as operações de ransomware, o Departamento de Estado dos EUA oferece recompensas substanciais por informações que levem à identificação ou localização dos líderes da gangue BlackCat. Essas recompensas podem chegar até 10 milhões de dólares por detalhes sobre os líderes do grupo e 5 milhões de dólares por informações sobre indivíduos ligados aos ataques de ransomware do grupo.
