Microsoft mette in guardia dal pericoloso e debilitante ransomware INC che prende di mira i sistemi sanitari
Microsoft ha recentemente lanciato un avviso su una nuova minaccia ransomware, denominata INC , che sta prendendo di mira il settore sanitario statunitense. Questa rivelazione proviene dal team di intelligence sulle minacce di Microsoft, che ha monitorato attentamente le attività di un gruppo di hacker motivati finanziariamente, noto come Vanilla Tempest (in precedenza DEV-0832).
Table of Contents
Vanilla Tempest e le sue tattiche
Gli attacchi informatici di Vanilla Tempest sono sofisticati e comportano un processo ben coordinato. Le tattiche del gruppo includono la ricezione di passaggi di consegne da infezioni GootLoader orchestrate dal famigerato threat actor Storm-0494. Dopo la consegna di GootLoader, utilizzano una varietà di strumenti per ottenere il controllo dei sistemi target, tra cui:
- Supper : un programma backdoor dannoso
- AnyDesk : uno strumento legittimo di monitoraggio e gestione remota
- MEGA : uno strumento di archiviazione cloud utilizzato per la sincronizzazione dei dati
Una volta all'interno del sistema, gli aggressori avviano movimenti laterali utilizzando il protocollo RDP (Remote Desktop Protocol) e il provider host Windows Management Instrumentation (WMI), prima di distribuire definitivamente il payload del ransomware INC .
Una minaccia crescente in più settori
Vanilla Tempest è attivo almeno da luglio 2022, prendendo di mira settori come istruzione, IT e produzione. In passato, hanno impiegato noti ceppi di ransomware come BlackCat, Quantum Locker, Zeppelin e Rhysida. Il settore sanitario, tuttavia, è diventato un obiettivo primario , data la sua natura critica e le grandi quantità di dati sensibili che gestisce.
In particolare, Vanilla Tempest è anche noto con lo pseudonimo di Vice Society, un gruppo che preferisce sfruttare i ransomware locker preesistenti anziché svilupparne uno proprio, una strategia che consente loro di agire in modo rapido ed efficace.
Tecniche in evoluzione per eludere il rilevamento
Le gang di ransomware stanno continuamente evolvendo le loro tattiche per evitare di essere rilevate. In uno sviluppo correlato, gruppi come BianLian e Rhysida sono stati osservati mentre utilizzavano strumenti come Azure Storage Explorer e AzCopy per esfiltrare dati sensibili da sistemi compromessi. Questi strumenti, progettati per gestire l'archiviazione di Azure, vengono ora riutilizzati per trasferimenti di dati su larga scala nell'archiviazione cloud, rendendo difficile per i team di sicurezza informatica rilevare e prevenire questi attacchi.
Proteggere il settore sanitario
Mentre i gruppi ransomware continuano a innovare le loro tecniche, prendendo di mira in particolar modo settori vitali come l'assistenza sanitaria, le organizzazioni devono rimanere vigili e proattive nelle loro misure di sicurezza informatica. L'avvertimento tempestivo di Microsoft sottolinea la crescente necessità per le organizzazioni sanitarie di impiegare protocolli di sicurezza solidi, tra cui software anti-malware aggiornati e pratiche di rete sicure, per respingere queste minacce sempre più sofisticate.
Tenendosi un passo avanti rispetto ai gruppi ransomware come Vanilla Tempest, il settore sanitario può proteggere meglio i propri dati preziosi ed evitare di diventare la prossima vittima di questo schema di estorsione finanziaria e di dati.