Microsoft alerta sobre ransomware INC perigoso e debilitante que tem como alvo sistemas de saúde
A Microsoft emitiu recentemente um alerta sobre uma nova ameaça de ransomware, chamada INC , que tem como alvo o setor de saúde dos EUA. Essa revelação vem da equipe de inteligência de ameaças da Microsoft, que tem monitorado de perto as atividades de um grupo de hackers com motivação financeira, conhecido como Vanilla Tempest (anteriormente DEV-0832).
Table of Contents
Vanilla Tempest e suas táticas
Os ataques cibernéticos da Vanilla Tempest são sofisticados e envolvem um processo bem coordenado. As táticas do grupo incluem receber transferências de infecções do GootLoader orquestradas pelo famoso ator de ameaças Storm-0494. Após a entrega do GootLoader, eles usam uma variedade de ferramentas para obter o controle dos sistemas alvo, incluindo:
- Ceia : Um programa de backdoor malicioso
- AnyDesk : Uma ferramenta legítima de monitoramento e gerenciamento remoto
- MEGA : Uma ferramenta de armazenamento em nuvem usada para sincronização de dados
Uma vez dentro do sistema, os invasores iniciam movimentos laterais usando o Remote Desktop Protocol (RDP) e o Windows Management Instrumentation (WMI) Provider Host, antes de finalmente implantar a carga do ransomware INC .
Uma ameaça crescente em vários setores
O Vanilla Tempest está ativo desde pelo menos julho de 2022, tendo como alvo setores como educação, TI e manufatura. No passado, eles empregaram cepas de ransomware notórias como BlackCat, Quantum Locker, Zeppelin e Rhysida. O setor de saúde, no entanto, se tornou um alvo principal , dada sua natureza crítica e as grandes quantidades de dados confidenciais que ele manipula.
Notavelmente, o Vanilla Tempest também é conhecido pelo pseudônimo Vice Society, um grupo que prefere aproveitar os bloqueadores de ransomware pré-existentes em vez de desenvolver os seus próprios, uma estratégia que lhes permite agir de forma rápida e eficaz.
Técnicas em evolução para evitar a detecção
Gangues de ransomware estão continuamente evoluindo suas táticas para evitar a detecção. Em um desenvolvimento relacionado, grupos como BianLian e Rhysida foram observados usando ferramentas como Azure Storage Explorer e AzCopy para exfiltrar dados confidenciais de sistemas comprometidos. Essas ferramentas, projetadas para gerenciar o armazenamento do Azure, agora estão sendo reaproveitadas para transferências de dados em larga escala para armazenamento em nuvem, dificultando para as equipes de segurança cibernética detectar e prevenir esses ataques.
Protegendo o setor de saúde
À medida que os grupos de ransomware continuam a inovar suas técnicas, visando principalmente setores vitais como a saúde, as organizações devem permanecer vigilantes e proativas em suas medidas de segurança cibernética. O aviso oportuno da Microsoft enfatiza a crescente necessidade de organizações de saúde empregarem protocolos de segurança robustos, incluindo software antimalware atualizado e práticas de rede seguras, para se defenderem dessas ameaças cada vez mais sofisticadas.
Ao ficar à frente de grupos de ransomware como o Vanilla Tempest, o setor de saúde pode proteger melhor seus dados valiosos e evitar se tornar a próxima vítima desse esquema de extorsão financeira e de dados.