ALPHV, también conocida como la banda de ransomware Blackcat, tiene como objetivo los sistemas de salud de EE. UU., según un aviso conjunto de ciberseguridad del FBI, CISA y el Departamento de Salud y Servicios Humanos (SSH).
El aviso, que se publicó como parte del esfuerzo #StopRansomware que publica avisos contra varias variantes y actores de ransomware, también detalla nuevos TTP que el grupo ha estado implementando desde su regreso de un Eliminación mundial de las fuerzas del orden en diciembre de 2023.
BlackCat, también conocido como Noberus, es un grupo de actores de amenazas con sede en Rusia que opera principalmente un modelo de ransomware como servicio (RaaS) escrito en el lenguaje de programación Rust. El grupo surgió por primera vez en noviembre de 2021 como un posible cambio de marca de Lado oscuroel actor de ransomware responsable del ciberataque de agosto de 2020 contra Colonial Pipeline, con sede en Georgia.
La pandilla, conocida por utilizar técnicas de ingeniería social e investigación de código abierto en una empresa para obtener acceso inicial, probablemente esté utilizando activamente explotados, Vulnerabilidad crítica de omisión de autenticación de ScreenConnect como nuevo método de infección, lo confirman los indicadores de compromiso (IOC) del aviso.
«Después de obtener acceso a la red de una víctima, los afiliados de ALPHV Blackcat implementan software de acceso remoto como AnyDesk, Mega sync y Splashtop en preparación para la exfiltración de datos», decía el aviso. “Los afiliados de ALPHV Blackcat afirman utilizar Ratel Bruto C4 y Golpe de cobalto como balizas para comandar y controlar servidores. (Ellos) también utilizan el marco de ataque de adversario en el medio de código abierto Evilginx2, que les permite obtener credenciales de autenticación multifactor (MFA), credenciales de inicio de sesión y cookies de sesión”.
Después de una eliminación coordinada por parte de las autoridades en diciembre de 2023, que permitió al FBI desarrollar un descifrador y ofrecer a 500 víctimas de BlackCat restaurar sus sistemas, el grupo recuperó rápidamente el acceso a servidores y sitios incautados y trasladó las operaciones a un nuevo sitio de fuga de Tor.