Microsoft advarer mot farlig og ødeleggende INC Ransomware rettet mot helsesystemer
Microsoft har nylig utstedt en advarsel om en ny løsepengevaretrussel, kalt INC , som er rettet mot den amerikanske helsesektoren. Denne avsløringen kommer fra Microsofts trusseletterretningsteam, som har fulgt nøye med på aktivitetene til en økonomisk motivert hackergruppe, kjent som Vanilla Tempest (tidligere DEV-0832).
Table of Contents
Vanilla Tempest og dens taktikk
Vanilla Tempest sine cyberangrep er sofistikerte og involverer en godt koordinert prosess. Gruppens taktikk inkluderer å motta overleveringer fra GootLoader -infeksjoner orkestrert av den beryktede trusselskuespilleren Storm-0494. Etter GootLoader-leveringen bruker de en rekke verktøy for å få kontroll over målsystemer, inkludert:
- Supper : Et ondsinnet bakdørsprogram
- AnyDesk : Et legitimt fjernovervåkings- og administrasjonsverktøy
- MEGA : Et skylagringsverktøy som brukes til datasynkronisering
Når angriperne først er inne i systemet, starter angriperne sidebevegelser ved hjelp av Remote Desktop Protocol (RDP) og Windows Management Instrumentation (WMI) Provider Host, før de til slutt distribuerer INC-ransomware- nyttelasten.
En voksende trussel på tvers av flere sektorer
Vanilla Tempest har vært aktiv siden minst juli 2022, tidligere rettet mot bransjer som utdanning, IT og produksjon. Tidligere har de brukt beryktede løsepengevarestammer som BlackCat, Quantum Locker, Zeppelin og Rhysida. Helsesektoren har imidlertid blitt et hovedmål , gitt dens kritiske natur og de store mengder sensitive data den håndterer.
Spesielt er Vanilla Tempest også kjent under aliaset Vice Society, en gruppe som foretrekker å utnytte allerede eksisterende løsepengevareskap i stedet for å utvikle sine egne, en strategi som lar dem handle raskt og effektivt.
Utviklende teknikker for å unngå deteksjon
Ransomware-gjenger utvikler kontinuerlig taktikken sin for å unngå oppdagelse. I en relatert utvikling har grupper som BianLian og Rhysida blitt observert ved å bruke verktøy som Azure Storage Explorer og AzCopy for å eksfiltrere sensitive data fra kompromitterte systemer. Disse verktøyene, designet for å administrere Azure-lagring, blir nå gjenbrukt for storskala dataoverføringer til skylagring, noe som gjør det vanskelig for cybersikkerhetsteam å oppdage og forhindre disse angrepene.
Beskyttelse av helsesektoren
Ettersom løsepengevaregrupper fortsetter å innovere teknikkene sine, spesielt rettet mot vitale sektorer som helsetjenester, må organisasjoner være årvåkne og proaktive i sine nettsikkerhetstiltak. Microsofts rettidige advarsel understreker det økende behovet for helseorganisasjoner for å bruke robuste sikkerhetsprotokoller, inkludert oppdatert anti-malware-programvare og sikker nettverkspraksis, for å avverge disse stadig mer sofistikerte truslene.
Ved å ligge i forkant av løsepengevaregrupper som Vanilla Tempest, kan helsesektoren bedre beskytte sine verdifulle data og unngå å bli det neste offeret for denne økonomiske og datautpressingsordningen.