マイクロソフト、医療システムを狙う危険で破壊的なINCランサムウェアについて警告
Microsoft は最近、米国の医療分野を狙ったINCと呼ばれる新しいランサムウェアの脅威について警告を発しました。この暴露は、Vanilla Tempest (旧称 DEV-0832) として知られる金銭目的のハッカー集団の活動を綿密に監視してきた Microsoft の脅威インテリジェンス チームによるものです。
Table of Contents
バニラ テンペストとその戦術
Vanilla Tempest のサイバー攻撃は高度で、よく調整されたプロセスが伴います。このグループの戦術には、悪名高い脅威アクター Storm-0494 が仕掛けたGootLoader感染からのハンドオフの受け取りが含まれます。GootLoader の配信後、彼らは次のようなさまざまなツールを使用してターゲット システムを制御します。
- Supper : 悪質なバックドアプログラム
- AnyDesk : 合法的なリモート監視および管理ツール
- MEGA : データ同期に使用されるクラウドストレージツール
システムに侵入すると、攻撃者はリモート デスクトップ プロトコル (RDP) と Windows Management Instrumentation (WMI) プロバイダー ホストを使用して横方向の移動を開始し、最終的にINC ランサムウェアペイロードを展開します。
複数のセクターで増大する脅威
Vanilla Tempest は少なくとも 2022 年 7 月から活動しており、これまでは教育、IT、製造などの業界を標的にしてきました。過去には、BlackCat、Quantum Locker、Zeppelin、Rhysida などの悪名高いランサムウェアの系統が使用されていました。しかし、医療分野は、その重要性と大量の機密データを取り扱うことから、主な標的となっています。
注目すべきことに、Vanilla Tempest は Vice Society という別名でも知られており、独自のランサムウェア ロッカーを開発するのではなく、既存のランサムウェア ロッカーを活用することを好み、迅速かつ効果的に行動できる戦略をとっているグループです。
検出を回避するための進化する技術
ランサムウェア集団は、検出を回避するために戦術を絶えず進化させています。関連する展開として、BianLian や Rhysida などの集団が、Azure Storage Explorer や AzCopy などのツールを使用して、侵害されたシステムから機密データを盗み出すことが確認されています。Azure ストレージを管理するために設計されたこれらのツールは、現在、クラウド ストレージへの大規模なデータ転送に再利用されており、サイバーセキュリティ チームがこれらの攻撃を検出して防止することが困難になっています。
医療分野の保護
ランサムウェア集団は、特に医療などの重要な分野をターゲットにして、その手法を革新し続けているため、組織はサイバーセキュリティ対策を常に警戒し、積極的に取り組む必要があります。マイクロソフトのタイムリーな警告は、ますます高度化する脅威に対抗するために、最新のマルウェア対策ソフトウェアや安全なネットワーク プラクティスなどの強力なセキュリティ プロトコルを医療組織が採用する必要性が高まっていることを強調しています。
Vanilla Tempest のようなランサムウェア グループに先手を打つことで、医療業界は貴重なデータをより適切に保護し、この金銭およびデータ脅迫計画の次の被害者になることを回避できます。