Microsoft waarschuwt voor gevaarlijke en slopende INC-ransomware die gericht is op zorgsystemen
Microsoft heeft onlangs een waarschuwing afgegeven over een nieuwe ransomware-dreiging, genaamd INC , die gericht is op de Amerikaanse gezondheidszorgsector. Deze onthulling komt van het threat intelligence-team van Microsoft, dat nauwlettend de activiteiten van een financieel gemotiveerde hackersgroep, bekend als Vanilla Tempest (voorheen DEV-0832), in de gaten houdt.
Table of Contents
Vanilla Tempest en zijn tactieken
De cyberaanvallen van Vanilla Tempest zijn geavanceerd en vereisen een goed gecoördineerd proces. De tactieken van de groep omvatten het ontvangen van hand-offs van GootLoader -infecties die georkestreerd worden door de beruchte dreigingsactor Storm-0494. Na de levering van GootLoader gebruiken ze verschillende tools om controle te krijgen over doelsystemen, waaronder:
- Avondmaal : een kwaadaardig backdoorprogramma
- AnyDesk : een legitiem hulpmiddel voor externe bewaking en beheer
- MEGA : Een cloudopslagtool die wordt gebruikt voor gegevenssynchronisatie
Zodra de aanvallers het systeem binnendringen, starten ze laterale bewegingen met behulp van Remote Desktop Protocol (RDP) en Windows Management Instrumentation (WMI) Provider Host, voordat ze uiteindelijk de INC-ransomware- payload implementeren.
Een groeiende bedreiging in meerdere sectoren
Vanilla Tempest is actief sinds ten minste juli 2022 en richtte zich eerder op sectoren als onderwijs, IT en productie. In het verleden hebben ze beruchte ransomware-stammen gebruikt zoals BlackCat, Quantum Locker, Zeppelin en Rhysida. De gezondheidszorgsector is echter een belangrijk doelwit geworden , gezien de kritieke aard ervan en de grote hoeveelheden gevoelige gegevens die het verwerkt.
Opvallend is dat Vanilla Tempest ook bekend is onder de alias Vice Society. Deze groep geeft er de voorkeur aan om bestaande ransomware-lockers te gebruiken in plaats van hun eigen lockers te ontwikkelen. Dankzij deze strategie kunnen ze snel en effectief handelen.
Ontwikkeling van technieken om detectie te ontwijken
Ransomware-bendes ontwikkelen voortdurend hun tactieken om detectie te voorkomen. In een gerelateerde ontwikkeling zijn groepen als BianLian en Rhysida waargenomen die tools zoals Azure Storage Explorer en AzCopy gebruiken om gevoelige gegevens van gecompromitteerde systemen te exfiltreren. Deze tools, ontworpen om Azure-opslag te beheren, worden nu opnieuw gebruikt voor grootschalige gegevensoverdrachten naar cloudopslag, waardoor het voor cybersecurityteams moeilijk wordt om deze aanvallen te detecteren en te voorkomen.
Bescherming van de gezondheidszorgsector
Terwijl ransomware-groepen hun technieken blijven innoveren, met name gericht op vitale sectoren zoals gezondheidszorg, moeten organisaties waakzaam en proactief blijven in hun cybersecuritymaatregelen. De tijdige waarschuwing van Microsoft benadrukt de groeiende behoefte van zorginstellingen om robuuste beveiligingsprotocollen te gebruiken, waaronder up-to-date anti-malwaresoftware en veilige netwerkpraktijken, om deze steeds geavanceerdere bedreigingen af te weren.
Door ransomware-groepen zoals Vanilla Tempest voor te blijven, kan de gezondheidszorgsector haar waardevolle gegevens beter beschermen en voorkomen dat zij het volgende slachtoffer wordt van deze financiële en data-afpersingspraktijken.