Microsoft warnt vor gefährlicher und schwächender INC-Ransomware, die auf Gesundheitssysteme abzielt
Microsoft hat vor Kurzem eine Warnung vor einer neuen Ransomware-Bedrohung namens INC herausgegeben, die auf den US-Gesundheitssektor abzielt. Diese Enthüllung stammt vom Threat Intelligence Team von Microsoft, das die Aktivitäten einer finanziell motivierten Hackergruppe namens Vanilla Tempest (früher DEV-0832) genau beobachtet hat.
Table of Contents
Vanilla Tempest und seine Taktiken
Die Cyberangriffe von Vanilla Tempest sind ausgefeilt und beinhalten einen gut koordinierten Prozess. Die Taktik der Gruppe umfasst den Erhalt von Übergaben von GootLoader -Infektionen, die vom berüchtigten Bedrohungsakteur Storm-0494 orchestriert werden. Nach der Zustellung des GootLoaders verwenden sie eine Vielzahl von Tools, um die Kontrolle über die Zielsysteme zu erlangen, darunter:
- Supper : Ein bösartiges Backdoor-Programm
- AnyDesk : Ein legitimes Tool zur Fernüberwachung und -verwaltung
- MEGA : Ein Cloud-Speichertool zur Datensynchronisierung
Sobald sie sich im System befinden, leiten die Angreifer laterale Bewegungen mithilfe des Remote Desktop Protocol (RDP) und des Windows Management Instrumentation (WMI) Provider Host ein, bevor sie schließlich die INC-Ransomware- Nutzlast bereitstellen.
Eine wachsende Bedrohung in mehreren Sektoren
Vanilla Tempest ist seit mindestens Juli 2022 aktiv und zielte zuvor auf Branchen wie Bildung, IT und Fertigung ab. In der Vergangenheit haben sie berüchtigte Ransomware-Stämme wie BlackCat, Quantum Locker, Zeppelin und Rhysida eingesetzt. Der Gesundheitssektor ist jedoch aufgrund seiner kritischen Natur und der großen Mengen sensibler Daten, die er verarbeitet, zu einem Hauptziel geworden .
Bemerkenswerterweise ist Vanilla Tempest auch unter dem Pseudonym Vice Society bekannt. Dabei handelt es sich um eine Gruppe, die lieber bereits vorhandene Ransomware-Locker nutzt, anstatt eigene zu entwickeln. Mit dieser Strategie sind sie in der Lage, schnell und effektiv vorzugehen.
Neue Techniken zur Vermeidung der Entdeckung
Ransomware-Banden entwickeln ihre Taktiken ständig weiter, um nicht entdeckt zu werden. In einer ähnlichen Entwicklung wurde beobachtet, dass Gruppen wie BianLian und Rhysida Tools wie Azure Storage Explorer und AzCopy verwendeten, um vertrauliche Daten aus kompromittierten Systemen zu extrahieren. Diese Tools, die für die Verwaltung von Azure-Speicher entwickelt wurden, werden nun für groß angelegte Datenübertragungen in Cloud-Speicher umfunktioniert, was es für Cybersicherheitsteams schwierig macht, diese Angriffe zu erkennen und zu verhindern.
Schutz des Gesundheitssektors
Da Ransomware-Gruppen ihre Techniken ständig weiterentwickeln und dabei insbesondere wichtige Sektoren wie das Gesundheitswesen ins Visier nehmen, müssen Organisationen bei ihren Cybersicherheitsmaßnahmen wachsam und proaktiv bleiben. Die rechtzeitige Warnung von Microsoft unterstreicht die wachsende Notwendigkeit für Gesundheitsorganisationen, robuste Sicherheitsprotokolle einzusetzen, darunter aktuelle Anti-Malware-Software und sichere Netzwerkpraktiken, um diese immer ausgefeilteren Bedrohungen abzuwehren.
Indem der Gesundheitssektor Ransomware-Gruppen wie Vanilla Tempest immer einen Schritt voraus ist, kann er seine wertvollen Daten besser schützen und vermeiden, das nächste Opfer dieser Finanz- und Datenerpressungsmasche zu werden.