Microsoft ostrzega przed niebezpiecznym i wyniszczającym oprogramowaniem typu ransomware INC atakującym systemy opieki zdrowotnej
Microsoft niedawno wydał ostrzeżenie o nowym zagrożeniu ransomware, nazwanym INC , które atakuje sektor opieki zdrowotnej w USA. To odkrycie pochodzi od zespołu ds. wywiadu zagrożeń Microsoftu, który uważnie monitoruje działania grupy hakerów motywowanych finansowo, znanej jako Vanilla Tempest (dawniej DEV-0832).
Table of Contents
Vanilla Tempest i jej taktyki
Cyberataki Vanilla Tempest są wyrafinowane i obejmują dobrze skoordynowany proces. Taktyka grupy obejmuje otrzymywanie przekazów z infekcji GootLoader , które są organizowane przez znanego aktora zagrożeń Storm-0494. Po dostarczeniu GootLoadera używają różnych narzędzi, aby uzyskać kontrolę nad systemami docelowymi, w tym:
- Kolacja : Złośliwy program typu backdoor
- AnyDesk : legalne narzędzie do zdalnego monitorowania i zarządzania
- MEGA : Narzędzie do przechowywania danych w chmurze służące do synchronizacji danych
Po włamaniu się do systemu atakujący inicjują ruchy boczne za pomocą protokołu RDP (Remote Desktop Protocol) i hosta dostawcy WMI (Windows Management Instrumentation), zanim ostatecznie wdrożą ładunek ransomware INC .
Rosnące zagrożenie w wielu sektorach
Vanilla Tempest działa co najmniej od lipca 2022 r., wcześniej atakując takie branże jak edukacja, IT i produkcja. W przeszłości stosowali znane odmiany ransomware, takie jak BlackCat, Quantum Locker, Zeppelin i Rhysida. Sektor opieki zdrowotnej stał się jednak głównym celem , biorąc pod uwagę jego krytyczny charakter i duże ilości poufnych danych, którymi się zajmuje.
Warto odnotować, że Vanilla Tempest występuje również pod pseudonimem Vice Society, czyli grupą, która preferuje wykorzystywanie istniejących programów blokujących pliki ransomware zamiast opracowywania własnych. Taka strategia pozwala im działać szybko i skutecznie.
Rozwijanie technik unikania wykrycia
Gangi ransomware nieustannie rozwijają swoje taktyki, aby uniknąć wykrycia. W powiązanym rozwoju sytuacji grupy takie jak BianLian i Rhysida zostały zaobserwowane przy użyciu narzędzi takich jak Azure Storage Explorer i AzCopy do eksfiltracji poufnych danych z zainfekowanych systemów. Te narzędzia, zaprojektowane do zarządzania magazynem Azure, są teraz ponownie wykorzystywane do transferów danych na dużą skalę do magazynu w chmurze, co utrudnia zespołom ds. cyberbezpieczeństwa wykrywanie i zapobieganie tym atakom.
Ochrona sektora opieki zdrowotnej
Ponieważ grupy ransomware nadal udoskonalają swoje techniki, szczególnie atakując ważne sektory, takie jak opieka zdrowotna, organizacje muszą zachować czujność i proaktywność w swoich środkach cyberbezpieczeństwa. Wczesne ostrzeżenie Microsoftu podkreśla rosnącą potrzebę stosowania przez organizacje opieki zdrowotnej solidnych protokołów bezpieczeństwa, w tym aktualnego oprogramowania antywirusowego i bezpiecznych praktyk sieciowych, aby odeprzeć te coraz bardziej wyrafinowane zagrożenia.
Dzięki wyprzedzaniu grup zajmujących się oprogramowaniem ransomware, takich jak Vanilla Tempest, sektor opieki zdrowotnej może lepiej chronić swoje cenne dane i uniknąć stania się kolejną ofiarą tego schematu wyłudzeń finansowych i danych.