„Microsoft“ įspėja apie pavojingą ir silpninančią INC išpirkos programinę įrangą, nukreiptą į sveikatos priežiūros sistemas
„Microsoft“ neseniai paskelbė įspėjimą dėl naujos išpirkos reikalaujančios programinės įrangos grėsmės, pavadintos INC , kuri nukreipta į JAV sveikatos priežiūros sektorių. Šį atskleidimą pateikė „Microsoft“ grėsmių žvalgybos komanda, kuri atidžiai stebėjo finansiškai motyvuotos įsilaužėlių grupės, žinomos kaip „Vanilla Tempest“ (anksčiau DEV-0832), veiklą.
Table of Contents
Vanilla Tempest ir jos taktika
„Vanilla Tempest“ kibernetinės atakos yra sudėtingos ir apima gerai koordinuotą procesą. Grupės taktika apima „GootLoader“ infekcijų, kurias organizavo liūdnai pagarsėjęs grėsmių veikėjas Storm-0494, pašalinimą. Po „GootLoader“ pristatymo jie naudoja įvairius įrankius, kad galėtų valdyti tikslines sistemas, įskaitant:
- Vakarienė : kenkėjiška užpakalinių durų programa
- AnyDesk : teisėtas nuotolinio stebėjimo ir valdymo įrankis
- MEGA : debesies saugojimo įrankis, naudojamas duomenims sinchronizuoti
Patekę į sistemą, užpuolikai inicijuoja šoninius judesius naudodami nuotolinio darbalaukio protokolą (RDP) ir „Windows Management Instrumentation“ (WMI) teikėjo prieglobą, o tada galiausiai įdiegia INC išpirkos reikalaujančią programinę įrangą.
Didėjanti grėsmė keliuose sektoriuose
„Vanilla Tempest“ veikia mažiausiai nuo 2022 m. liepos mėn., anksčiau taikydama tokias pramonės šakas kaip švietimas, IT ir gamyba. Anksčiau jie naudojo liūdnai pagarsėjusias išpirkos reikalaujančias programas, tokias kaip BlackCat, Quantum Locker, Zeppelin ir Rhysida. Tačiau sveikatos priežiūros sektorius tapo pagrindiniu tikslu , atsižvelgiant į jo kritinį pobūdį ir didelį jame tvarkomų neskelbtinų duomenų kiekį.
Pažymėtina, kad „Vanilla Tempest“ taip pat žinomas slapyvardžiu „Vice Society“ – tai grupė, kuri teikia pirmenybę jau esamoms išpirkos reikalaujančių programų saugykloms, o ne kuria savo strategiją, leidžiančią veikti greitai ir efektyviai.
Tobulinami būdai, kaip išvengti aptikimo
Ransomware gaujos nuolat tobulina savo taktiką, kad išvengtų aptikimo. Vykdant susijusią plėtrą buvo pastebėta, kad grupės, tokios kaip BianLian ir Rhysida, naudoja tokius įrankius kaip Azure Storage Explorer ir AzCopy, kad išfiltruotų neskelbtinus duomenis iš pažeistų sistemų. Šie įrankiai, skirti valdyti „Azure“ saugyklą, dabar perkeliami didelio masto duomenų perkėlimui į saugyklą debesyje, todėl kibernetinio saugumo komandoms sunku aptikti ir užkirsti kelią šioms atakoms.
Sveikatos priežiūros sektoriaus apsauga
Kadangi išpirkos reikalaujančių programų grupės ir toliau tobulina savo metodus, ypač taikydami tokius gyvybiškai svarbius sektorius kaip sveikatos priežiūra, organizacijos turi išlikti budrios ir aktyviai imtis kibernetinio saugumo priemonių. Savalaikiame „Microsoft“ įspėjime pabrėžiamas didėjantis sveikatos priežiūros organizacijų poreikis naudoti patikimus saugos protokolus, įskaitant naujausią kovos su kenkėjiška programine įranga programinę įrangą ir saugaus tinklo praktiką, kad atremtų šias vis sudėtingesnes grėsmes.
Aplenkdamas išpirkos reikalaujančias grupes, tokias kaip Vanilla Tempest, sveikatos priežiūros sektorius gali geriau apsaugoti savo vertingus duomenis ir netapti kita šios finansinės ir duomenų prievartavimo schemos auka.