Microsoft advarer om farlig og invaliderende INC Ransomware, der er målrettet mod sundhedssystemer
Microsoft har for nylig udsendt en advarsel om en ny ransomware-trussel, kaldet INC , der er rettet mod den amerikanske sundhedssektor. Denne afsløring kommer fra Microsofts trusselsefterretningsteam, som nøje har overvåget aktiviteterne i en økonomisk motiveret hackergruppe, kendt som Vanilla Tempest (tidligere DEV-0832).
Table of Contents
Vanilla Tempest og dens taktik
Vanilla Tempests cyberangreb er sofistikerede og involverer en velkoordineret proces. Gruppens taktik inkluderer at modtage overleveringer fra GootLoader- infektioner orkestreret af den berygtede trusselskuespiller Storm-0494. Efter leveringen af GootLoader bruger de en række værktøjer til at få kontrol over målsystemer, herunder:
- Supper : Et ondsindet bagdørsprogram
- AnyDesk : Et legitimt fjernovervågnings- og administrationsværktøj
- MEGA : Et cloud-lagringsværktøj, der bruges til datasynkronisering
Når angriberne først er inde i systemet, initierer angriberne laterale bevægelser ved hjælp af Remote Desktop Protocol (RDP) og Windows Management Instrumentation (WMI) Provider Host, før de i sidste ende implementerer INC ransomware- nyttelasten.
En voksende trussel på tværs af flere sektorer
Vanilla Tempest har været aktiv siden mindst juli 2022, og har tidligere været rettet mod industrier som uddannelse, IT og fremstilling. Tidligere har de brugt berygtede ransomware-stammer som BlackCat, Quantum Locker, Zeppelin og Rhysida. Sundhedssektoren er imidlertid blevet et primært mål på grund af dens kritiske karakter og de store mængder følsomme data, den håndterer.
Navnlig er Vanilla Tempest også kendt under aliaset Vice Society, en gruppe, der foretrækker at udnytte allerede eksisterende ransomware-skabe i stedet for at udvikle deres egne, en strategi, der giver dem mulighed for at handle hurtigt og effektivt.
Udviklingsteknikker til at undgå detektion
Ransomware-bander udvikler løbende deres taktik for at undgå opdagelse. I en relateret udvikling er grupper som BianLian og Rhysida blevet observeret ved at bruge værktøjer som Azure Storage Explorer og AzCopy til at udskille følsomme data fra kompromitterede systemer. Disse værktøjer, der er designet til at administrere Azure-lagring, bliver nu genbrugt til dataoverførsler i stor skala til skylager, hvilket gør det vanskeligt for cybersikkerhedsteams at opdage og forhindre disse angreb.
Beskyttelse af sundhedssektoren
Mens ransomware-grupper fortsætter med at innovere deres teknikker, især rettet mod vitale sektorer som sundhedspleje, skal organisationer forblive årvågne og proaktive i deres cybersikkerhedsforanstaltninger. Microsofts rettidige advarsel understreger det voksende behov for sundhedsorganisationer for at anvende robuste sikkerhedsprotokoller, herunder opdateret anti-malware-software og sikker netværkspraksis, for at afværge disse stadig mere sofistikerede trusler.
Ved at være på forkant med ransomware-grupper som Vanilla Tempest kan sundhedssektoren bedre beskytte sine værdifulde data og undgå at blive det næste offer for denne økonomiske og dataafpresningsordning.