A Microsoft az egészségügyi rendszereket célzó, veszélyes és legyengítő INC Ransomware-re figyelmeztet
A Microsoft a közelmúltban figyelmeztetést adott ki egy új, INC névre keresztelt zsarolóvírus-fenyegetésről, amely az Egyesült Államok egészségügyi szektorát célozza meg. Ez a leleplezés a Microsoft fenyegetés-felderítő csapatától származik, amely szorosan figyelemmel kísérte egy pénzügyileg motivált hackercsoport, a Vanilla Tempest (korábban DEV-0832) tevékenységét.
Table of Contents
Vanília vihar és taktikája
A Vanilla Tempest kibertámadásai kifinomultak, és jól koordinált folyamatot tartalmaznak. A csoport taktikájába tartozik, hogy a hírhedt, Storm-0494 fenyegetést játszó színész által szervezett GootLoader- fertőzésekből átadják magukat. A GootLoader kézbesítést követően számos eszközt használnak a célrendszerek irányítása érdekében, többek között:
- Vacsora : Egy rosszindulatú hátsó ajtó program
- AnyDesk : Legális távfelügyeleti és felügyeleti eszköz
- MEGA : Adatszinkronizálásra használt felhőtároló eszköz
A rendszerbe kerülve a támadók oldalirányú mozgásokat kezdeményeznek a Remote Desktop Protocol (RDP) és a Windows Management Instrumentation (WMI) Provider Host segítségével, mielőtt végül telepítenék az INC ransomware- t.
Növekvő fenyegetés több szektorban
A Vanilla Tempest legalább 2022 júliusa óta aktív, korábban olyan iparágakat célozva meg, mint az oktatás, az IT és a gyártás. A múltban olyan hírhedt zsarolóvírus-törzseket alkalmaztak, mint a BlackCat, a Quantum Locker, a Zeppelin és a Rhysida. Az egészségügyi szektor azonban elsődleges célponttá vált , tekintettel kritikus jellegére és az általa kezelt nagy mennyiségű érzékeny adatra.
Nevezetesen, a Vanilla Tempest alias Vice Society néven is ismert, egy olyan csoport, amely a már meglévő ransomware tárolók kihasználását részesíti előnyben, ahelyett, hogy saját stratégiát dolgozna ki, amely lehetővé teszi számukra, hogy gyorsan és hatékonyan cselekedjenek.
Fejlődő technikák az észlelés elkerülésére
A Ransomware-bandák folyamatosan fejlesztik taktikájukat, hogy elkerüljék az észlelést. Egy kapcsolódó fejlesztés során olyan csoportokat figyeltek meg, mint a BianLian és a Rhysida, amelyek olyan eszközöket használnak, mint az Azure Storage Explorer és az AzCopy, hogy kiszűrjék az érzékeny adatokat a feltört rendszerekből. Ezeket az Azure Storage kezelésére tervezett eszközöket most újrahasznosítják a felhőalapú tárhelyre történő nagyszabású adatátvitelhez, ami megnehezíti a kiberbiztonsági csapatok számára ezen támadások észlelését és megelőzését.
Az egészségügyi szektor védelme
Mivel a ransomware-csoportok továbbra is innoválják technikáikat, különösen olyan létfontosságú ágazatokat célozva meg, mint az egészségügy, a szervezeteknek továbbra is ébernek és proaktívnak kell lenniük kiberbiztonsági intézkedéseik során. A Microsoft időszerű figyelmeztetése hangsúlyozza, hogy az egészségügyi szervezeteknek egyre nagyobb szükségük van robusztus biztonsági protokollok alkalmazására, beleértve a naprakész kártevő-elhárító szoftvereket és a biztonságos hálózati gyakorlatokat az egyre kifinomultabb fenyegetések kivédésére.
A zsarolóvírus-csoportok, például a Vanilla Tempest előtt maradva az egészségügyi szektor jobban megvédheti értékes adatait, és elkerülheti, hogy ennek a pénzügyi és adatzsaroló programnak a következő áldozatává váljon.