Microsoft ostrzega przed niebezpiecznym i wyniszczającym oprogramowaniem typu ransomware INC atakującym systemy opieki zdrowotnej

healthcare systems targeted

Microsoft niedawno wydał ostrzeżenie o nowym zagrożeniu ransomware, nazwanym INC , które atakuje sektor opieki zdrowotnej w USA. To odkrycie pochodzi od zespołu ds. wywiadu zagrożeń Microsoftu, który uważnie monitoruje działania grupy hakerów motywowanych finansowo, znanej jako Vanilla Tempest (dawniej DEV-0832).

Vanilla Tempest i jej taktyki

Cyberataki Vanilla Tempest są wyrafinowane i obejmują dobrze skoordynowany proces. Taktyka grupy obejmuje otrzymywanie przekazów z infekcji GootLoader , które są organizowane przez znanego aktora zagrożeń Storm-0494. Po dostarczeniu GootLoadera używają różnych narzędzi, aby uzyskać kontrolę nad systemami docelowymi, w tym:

  • Kolacja : Złośliwy program typu backdoor
  • AnyDesk : legalne narzędzie do zdalnego monitorowania i zarządzania
  • MEGA : Narzędzie do przechowywania danych w chmurze służące do synchronizacji danych

Po włamaniu się do systemu atakujący inicjują ruchy boczne za pomocą protokołu RDP (Remote Desktop Protocol) i hosta dostawcy WMI (Windows Management Instrumentation), zanim ostatecznie wdrożą ładunek ransomware INC .

Rosnące zagrożenie w wielu sektorach

Vanilla Tempest działa co najmniej od lipca 2022 r., wcześniej atakując takie branże jak edukacja, IT i produkcja. W przeszłości stosowali znane odmiany ransomware, takie jak BlackCat, Quantum Locker, Zeppelin i Rhysida. Sektor opieki zdrowotnej stał się jednak głównym celem , biorąc pod uwagę jego krytyczny charakter i duże ilości poufnych danych, którymi się zajmuje.

Warto odnotować, że Vanilla Tempest występuje również pod pseudonimem Vice Society, czyli grupą, która preferuje wykorzystywanie istniejących programów blokujących pliki ransomware zamiast opracowywania własnych. Taka strategia pozwala im działać szybko i skutecznie.

Rozwijanie technik unikania wykrycia

Gangi ransomware nieustannie rozwijają swoje taktyki, aby uniknąć wykrycia. W powiązanym rozwoju sytuacji grupy takie jak BianLian i Rhysida zostały zaobserwowane przy użyciu narzędzi takich jak Azure Storage Explorer i AzCopy do eksfiltracji poufnych danych z zainfekowanych systemów. Te narzędzia, zaprojektowane do zarządzania magazynem Azure, są teraz ponownie wykorzystywane do transferów danych na dużą skalę do magazynu w chmurze, co utrudnia zespołom ds. cyberbezpieczeństwa wykrywanie i zapobieganie tym atakom.

Ochrona sektora opieki zdrowotnej

Ponieważ grupy ransomware nadal udoskonalają swoje techniki, szczególnie atakując ważne sektory, takie jak opieka zdrowotna, organizacje muszą zachować czujność i proaktywność w swoich środkach cyberbezpieczeństwa. Wczesne ostrzeżenie Microsoftu podkreśla rosnącą potrzebę stosowania przez organizacje opieki zdrowotnej solidnych protokołów bezpieczeństwa, w tym aktualnego oprogramowania antywirusowego i bezpiecznych praktyk sieciowych, aby odeprzeć te coraz bardziej wyrafinowane zagrożenia.

Dzięki wyprzedzaniu grup zajmujących się oprogramowaniem ransomware, takich jak Vanilla Tempest, sektor opieki zdrowotnej może lepiej chronić swoje cenne dane i uniknąć stania się kolejną ofiarą tego schematu wyłudzeń finansowych i danych.

September 19, 2024
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.