Η Microsoft προειδοποιεί για επικίνδυνα και εξουθενωτικά Ransomware της INC που στοχεύουν συστήματα υγειονομικής περίθαλψης
Η Microsoft εξέδωσε πρόσφατα μια προειδοποίηση σχετικά με μια νέα απειλή ransomware, με την ονομασία INC , που στοχεύει τον τομέα της υγειονομικής περίθαλψης των ΗΠΑ. Αυτή η αποκάλυψη προέρχεται από την ομάδα πληροφοριών απειλών της Microsoft, η οποία παρακολουθούσε στενά τις δραστηριότητες μιας ομάδας χάκερ με οικονομικά κίνητρα, γνωστής ως Vanilla Tempest (πρώην DEV-0832).
Table of Contents
Η καταιγίδα της βανίλιας και οι τακτικές της
Οι κυβερνοεπιθέσεις της Vanilla Tempest είναι πολύπλοκες και περιλαμβάνουν μια καλά συντονισμένη διαδικασία. Οι τακτικές του γκρουπ περιλαμβάνουν τη λήψη χεριών από μολύνσεις GootLoader που ενορχηστρώθηκαν από τον διαβόητο ηθοποιό απειλών Storm-0494. Μετά την παράδοση του GootLoader, χρησιμοποιούν μια ποικιλία εργαλείων για να αποκτήσουν τον έλεγχο των συστημάτων-στόχων, όπως:
- Δείπνο : Ένα κακόβουλο πρόγραμμα backdoor
- AnyDesk : Ένα νόμιμο εργαλείο απομακρυσμένης παρακολούθησης και διαχείρισης
- MEGA : Ένα εργαλείο αποθήκευσης cloud που χρησιμοποιείται για συγχρονισμό δεδομένων
Μόλις εισέλθουν στο σύστημα, οι εισβολείς ξεκινούν πλευρικές κινήσεις χρησιμοποιώντας το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) και τον κεντρικό υπολογιστή παροχής οργάνων διαχείρισης των Windows (WMI), προτού τελικά αναπτύξουν το ωφέλιμο φορτίο ransomware INC .
Μια αυξανόμενη απειλή σε πολλούς τομείς
Το Vanilla Tempest δραστηριοποιείται τουλάχιστον από τον Ιούλιο του 2022, στοχεύοντας στο παρελθόν βιομηχανίες όπως η εκπαίδευση, η πληροφορική και η μεταποίηση. Στο παρελθόν, έχουν χρησιμοποιήσει διαβόητα στελέχη ransomware όπως το BlackCat, το Quantum Locker, το Zeppelin και το Rhysida. Ο τομέας της υγείας, ωστόσο, έχει γίνει πρωταρχικός στόχος , δεδομένης της κρίσιμης φύσης του και των μεγάλων ποσοτήτων ευαίσθητων δεδομένων που χειρίζεται.
Συγκεκριμένα, το Vanilla Tempest είναι επίσης γνωστό με το ψευδώνυμο Vice Society, μια ομάδα που ευνοεί την αξιοποίηση προϋπαρχόντων θυρίδων ransomware αντί να αναπτύσσουν τη δική τους, μια στρατηγική που τους επιτρέπει να ενεργούν γρήγορα και αποτελεσματικά.
Εξέλιξη Τεχνικών για Αποφυγή Ανίχνευσης
Οι συμμορίες ransomware εξελίσσουν συνεχώς τις τακτικές τους για να αποφύγουν τον εντοπισμό. Σε μια σχετική εξέλιξη, ομάδες όπως οι BianLian και Rhysida έχουν παρατηρηθεί να χρησιμοποιούν εργαλεία όπως το Azure Storage Explorer και το AzCopy για την εξαγωγή ευαίσθητων δεδομένων από παραβιασμένα συστήματα. Αυτά τα εργαλεία, που έχουν σχεδιαστεί για τη διαχείριση της αποθήκευσης Azure, επαναπροορίζονται τώρα για μεταφορές δεδομένων μεγάλης κλίμακας σε αποθήκευση cloud, καθιστώντας δύσκολο για τις ομάδες κυβερνοασφάλειας να εντοπίσουν και να αποτρέψουν αυτές τις επιθέσεις.
Προστασία του Τομέα Υγείας
Καθώς οι ομάδες ransomware συνεχίζουν να καινοτομούν τις τεχνικές τους, στοχεύοντας ιδιαίτερα ζωτικούς τομείς όπως η υγειονομική περίθαλψη, οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση και προληπτική δράση στα μέτρα κυβερνοασφάλειας. Η έγκαιρη προειδοποίηση της Microsoft τονίζει την αυξανόμενη ανάγκη για τους οργανισμούς υγειονομικής περίθαλψης να χρησιμοποιούν ισχυρά πρωτόκολλα ασφαλείας, συμπεριλαμβανομένου του ενημερωμένου λογισμικού κατά του κακόβουλου λογισμικού και πρακτικών ασφαλούς δικτύου, για να αποκρούσουν αυτές τις ολοένα και πιο εξελιγμένες απειλές.
Παραμένοντας μπροστά από ομάδες ransomware, όπως το Vanilla Tempest, ο τομέας της υγειονομικής περίθαλψης μπορεί να προστατεύσει καλύτερα τα πολύτιμα δεδομένα του και να αποφύγει να γίνει το επόμενο θύμα αυτού του συστήματος οικονομικών και εκβιασμών δεδομένων.