【勒索动态周报】 - 2024 年 3 月 4 日 - 医疗行业围攻

    过去几个月针对医疗保健的勒索软件攻击持续不断，大量针对医院和医疗服务的勒索软件操作导致美国患者护理和处方药获取中断。

    2024 年迄今为止影响最大的攻击是针对 UnitedHealth Group 子公司 Change Healthcare 的攻击，这对美国医疗保健系统产生了重大影响。这次攻击后来与 BlackCat 勒索软件操作有关，UnitedHealth 也确认该组织是此次攻击的幕后黑手。

    Change Healthcare 是一种电子支付交换服务，医生、药剂师和医院使用该服务在美国医疗保健系统中提交账单索赔。

    这次攻击对 Change Healthcare 的服务造成了严重干扰，严重影响了无法向顾客收取处方药费用的药店。

    这种干扰已经波及到患者，在某些情况下，患者被迫支付全价药物，直到问题得到解决。然而，一些药物可能花费数千美元，使许多人难以支付费用。

    更糟糕的是，BlackCat 勒索软件行动（又名 ALPHV）声称在攻击期间从 Change Healthcare 窃取了 6TB 数据，其中包含数百万人的个人信息。

    这次袭击导致 FBI、CISA 和 HHS 就BlackCat 对医院的袭击发出联合咨询警告。

    美国医院协会 (AHA) 主席兼首席执行官Rick Pollack 警告称：“2 月 21 日开始的针对 Change Healthcare 的网络攻击是针对美国医疗保健组织的同类事件中最严重的一次。”

    另一个名为 Rhysida 的勒索软件操作也因其对医疗保健的攻击而闻名，该勒索软件试图出售从芝加哥卢里儿童医院窃取的患者数据，其勒索软件已跌至新低。

    另一种以医疗保健为目标的勒索软件是 Lockbit，它在上周的一项名为“克罗诺斯行动”的执法行动中遭到打击，该行动允许执法部门扣押服务器、数据和解密器。

    然而，LockBit 带着新的基础设施和服务器回归，承诺提高安全性并防止再次发生如此大规模的攻击。

    不幸的是，BleepingComputer 已经看到一些附属机构正在积极进行攻击的迹象，但与执法行动之前相比，其能力似乎有所减弱。

    即便如此，许多人仍然相信 LockBit 在声誉受损并失去网络犯罪社区的信任后很快就会关闭。

    在其他新闻中，一个名为 Mogilevich 的勒索组织声称已经侵入 Epic Games并窃取了 189 GB 数据，其中包括源代码。不过，Epic Games 告诉 BleepingComputer，“零证据”表明他们在攻击中遭到破坏。

    最后，更多勒索软件团伙加入了ScreenConnect RCE 漏洞利用列车，包括 Black Basta 和 Bl00dy 勒索软件团伙。

    本周提供新勒索软件信息和故事的贡献者和人员包括：@demonslay335、@Ionut_Ilascu、@Seifreed、@serghei、@fwosar、@BleepinComputer、@malwrhunterteam、@billtoulas、@ LawrenceAbrams、@ Threatlabz、@ DarkWebInformer、@CISAgov、@TrendMicro、@Shadowserver、@a_greenberg、@BrettCallow、 @ Jon__DiMaggio、 @ CrowdStrike、@H4ckManac、@RobWright22、@ValeryMarchive和@pcrisk

2024 年 2 月 25 日

LockBit 勒索软件卷土重来，在警方破坏后恢复了服务器

在执法部门黑客攻击其服务器不到一周后，LockBit 团伙正在新基础设施上重新启动勒索软件操作，并威胁将更多攻击集中在政府部门。

2024 年 2 月 26 日

UnitedHealth 子公司 Optum 遭黑客攻击与 BlackCat 勒索软件有关

熟悉调查情况的消息人士称，针对联合健康集团子公司 Optum 的网络攻击导致 Change Healthcare 支付交易平台持续中断，该攻击与 BlackCat 勒索软件组织有关。

勒索软件综述 – Abyss Locker

本版勒索软件综述涵盖了 Abyss Locker (AbyssLocker) 勒索软件。

2024 年 2 月 27 日

FBI、CISA 警告美国医院注意 BlackCat 勒索软件攻击

今天，FBI、CISA 和卫生与公众服务部 (HHS) 就针对性的 ALPHV/Blackcat 勒索软件攻击向美国医疗机构发出警告。

Black Basta、Bl00dy 勒索软件团伙加入 ScreenConnect 攻击

Black Basta 和 Bl00dy 勒索软件团伙加入了针对未针对最高严重性身份验证绕过漏洞修补的 ScreenConnect 服务器的广泛攻击。

黑森州消费者中心称系统被勒索软件加密

德国黑森州消费者中心遭受勒索软件攻击，导致 IT 系统关闭并暂时中断其可用性。

新的 Mallox 勒索软件变种

PCrisk发现了一个新的 Mallox 勒索软件变体，该变体附加了.ma1x0扩展名并删除了名为HOW TO RESTORE FILES.txt的勒索信息。

2024 年 2 月 28 日

Epic Games：“零证据”我们被 Mogilevich 团伙黑客攻击

Epic Games 表示，在 Mogilevich 勒索组织声称入侵了该公司的服务器后，他们发现网络攻击或数据盗窃的证据为零。

LockBit 勒索软件利用新的加密器、服务器再次发起攻击

在上周执法中断后，LockBit 勒索软件团伙再次发起攻击，使用更新后的加密器和链接到新服务器的勒索票据。

勒索软件团伙声称他们窃取了 6TB 的 Change Healthcare 数据

BlackCat/ALPHV 勒索软件团伙已正式声称对 UnitedHealth Group (UHG) 子公司Optum 的网络攻击负责，此次攻击导致 Change Healthcare 平台持续中断。

Rhysida 勒索软件因窃取儿童数据索要 360 万美元

Rhysida 勒索软件团伙声称对本月初针对芝加哥卢里儿童医院的网络攻击负责。

2024 年 2 月 29 日

停止勒索软件：Phobos 勒索软件

联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 以及多州信息共享和分析中心 (MS-ISAC) 正在发布此联合 CSA，以传播与火卫一相关的已知 TTP 和 IOC根据开源报告，最近在 2024 年 2 月观察到了勒索软件变体。Phobos 的结构为勒索软件即服务 (RaaS) 模型。自 2019 年 5 月以来，我们定期向 MS-ISAC 报告影响州、地方、部落和领地 (SLTT) 政府的 Phobos 勒索软件事件。这些事件针对市县政府、紧急服务、教育、公共医疗和其他关键基础设施实体，成功勒索数百万美元

特朗普审判失踪之谜 勒索软件泄露

本周，臭名昭著的勒索软件团伙LockBit威胁要进行一种破坏，这对于导致医院瘫痪并导致天然气管道关闭的犯罪行业来说也是第一次：泄露对前总统和总统候选人。

然后，在没有任何解释的情况下，这种威胁就消失了，留下了许多悬而未决的问题。

新的 Frea 勒索软件

PCrisk 发现了一种新的勒索软件，该勒索软件附加.frea扩展名并删除名为oku.txt的勒索信息。

2024 年 3 月 1 日

ALPHA SPIDER 勒索软件攻击剖析

Alphv 勒索软件即服务首次出现于 2021 年 12 月，因其是第一个使用 Rust 编程语言编写的勒索软件而闻名。Alphv RaaS 提供了许多旨在吸引复杂附属机构的功能，包括针对多个操作系统的勒索软件变体；高度可定制的变体，每小时都会自我重建以逃避防病毒工具；清晰的网络域和对手的专用泄漏站点（DLS）上的可搜索数据库，使访问者能够搜索泄漏的数据；以及集成到附属面板的比特币混合器。

Unisys：源代码在 2022 年的网络攻击中“泄露”

2022 年 8 月上旬，在不到一个小时的时间里，Alphv/BlackCat 声称在一次网络攻击中窃取了 Unisys 的源代码。该事件的真实发生，揭示了对有关人员的监管声明的审查。

新的 Xorist 变体

PCrisk 发现了新的 Xorist 勒索软件变体，该变体附加.WoXoTo或.RSA-4096扩展名，并释放名为HOW TO DECRYPT FILES.txt的勒索信息。

这就是上周的内容！