Microsoft met en garde contre le dangereux et débilitant ransomware INC ciblant les systèmes de santé
Microsoft a récemment émis un avertissement concernant une nouvelle menace de ransomware, baptisée INC , qui cible le secteur de la santé aux États-Unis. Cette révélation provient de l'équipe de renseignement sur les menaces de Microsoft, qui surveille de près les activités d'un groupe de pirates informatiques motivés par des intérêts financiers, connu sous le nom de Vanilla Tempest (anciennement DEV-0832).
Table of Contents
Vanilla Tempest et ses tactiques
Les cyberattaques de Vanilla Tempest sont sophistiquées et impliquent un processus bien coordonné. Les tactiques du groupe incluent la réception de transferts d'infections GootLoader orchestrées par le célèbre acteur de menace Storm-0494. Après la livraison de GootLoader, ils utilisent une variété d'outils pour prendre le contrôle des systèmes cibles, notamment :
- Supper : un programme de porte dérobée malveillant
- AnyDesk : Un outil de surveillance et de gestion à distance légitime
- MEGA : Un outil de stockage cloud utilisé pour la synchronisation des données
Une fois à l'intérieur du système, les attaquants initient des mouvements latéraux à l'aide du protocole RDP (Remote Desktop Protocol) et du fournisseur Windows Management Instrumentation (WMI), avant de déployer finalement la charge utile du ransomware INC .
Une menace croissante dans de nombreux secteurs
Vanilla Tempest est actif depuis au moins juillet 2022, ciblant auparavant des secteurs comme l'éducation, l'informatique et l'industrie manufacturière. Par le passé, ils ont utilisé des souches de ransomware notoires comme BlackCat, Quantum Locker, Zeppelin et Rhysida. Le secteur de la santé, cependant, est devenu une cible de choix , compte tenu de sa nature critique et des grandes quantités de données sensibles qu'il traite.
Notamment, Vanilla Tempest est également connu sous le pseudonyme de Vice Society, un groupe qui préfère exploiter les casiers de ransomware préexistants plutôt que de développer les leurs, une stratégie qui leur permet d'agir rapidement et efficacement.
Évolution des techniques pour échapper à la détection
Les gangs de ransomwares font évoluer en permanence leurs tactiques pour éviter d’être détectés. Dans le même ordre d’idées, des groupes comme BianLian et Rhysida ont été observés en train d’utiliser des outils tels qu’Azure Storage Explorer et AzCopy pour exfiltrer des données sensibles des systèmes compromis. Ces outils, conçus pour gérer le stockage Azure, sont désormais réutilisés pour les transferts de données à grande échelle vers le stockage cloud, ce qui complique la tâche des équipes de cybersécurité pour détecter et prévenir ces attaques.
Protéger le secteur de la santé
Alors que les groupes de ransomware continuent d'innover dans leurs techniques, ciblant en particulier des secteurs vitaux comme la santé, les organisations doivent rester vigilantes et proactives dans leurs mesures de cybersécurité. L'avertissement opportun de Microsoft souligne la nécessité croissante pour les organisations de santé d'utiliser des protocoles de sécurité robustes, notamment des logiciels anti-malware à jour et des pratiques réseau sécurisées, pour repousser ces menaces de plus en plus sophistiquées.
En gardant une longueur d’avance sur les groupes de ransomware comme Vanilla Tempest, le secteur de la santé peut mieux protéger ses précieuses données et éviter de devenir la prochaine victime de ce système d’extorsion financière et de données.