Microsoft предупреждает об опасном и разрушительном вирусе-вымогателе INC, нацеленном на системы здравоохранения
Недавно Microsoft выпустила предупреждение о новой угрозе вымогателя, получившей название INC , которая нацелена на сектор здравоохранения США. Это открытие поступило от команды Microsoft по анализу угроз, которая внимательно следит за деятельностью финансово мотивированной хакерской группы, известной как Vanilla Tempest (ранее DEV-0832).
Table of Contents
Vanilla Tempest и его тактика
Кибератаки Vanilla Tempest сложны и включают хорошо скоординированный процесс. Тактика группы включает получение передач от заражений GootLoader , организованных печально известным злоумышленником Storm-0494. После доставки GootLoader они используют различные инструменты для получения контроля над целевыми системами, включая:
- Ужин : вредоносная программа-бэкдор
- AnyDesk : законный инструмент удаленного мониторинга и управления
- MEGA : облачное хранилище, используемое для синхронизации данных.
Попав в систему, злоумышленники инициируют горизонтальные перемещения с использованием протокола удаленного рабочего стола (RDP) и узла поставщика инструментария управления Windows (WMI), прежде чем в конечном итоге развернуть полезную нагрузку программы-вымогателя INC .
Растущая угроза во многих секторах
Vanilla Tempest активен по крайней мере с июля 2022 года, ранее нацеливаясь на такие отрасли, как образование, ИТ и производство. В прошлом они использовали печально известные штаммы программ-вымогателей, такие как BlackCat, Quantum Locker, Zeppelin и Rhysida. Однако сектор здравоохранения стал главной целью , учитывая его критический характер и большие объемы конфиденциальных данных, с которыми он работает.
Примечательно, что Vanilla Tempest также известна под псевдонимом Vice Society — это группа, которая предпочитает использовать уже существующие средства защиты от программ-вымогателей вместо разработки собственных. Такая стратегия позволяет им действовать быстро и эффективно.
Развитие методов уклонения от обнаружения
Банды программ-вымогателей постоянно совершенствуют свои тактики, чтобы избежать обнаружения. В смежной разработке такие группы, как BianLian и Rhysida, были замечены в использовании таких инструментов, как Azure Storage Explorer и AzCopy, для извлечения конфиденциальных данных из скомпрометированных систем. Эти инструменты, разработанные для управления хранилищем Azure, теперь перепрофилируются для крупномасштабной передачи данных в облачное хранилище, что затрудняет обнаружение и предотвращение таких атак группами по кибербезопасности.
Защита сектора здравоохранения
Поскольку группы вымогателей продолжают совершенствовать свои методы, особенно нацеленные на такие важные секторы, как здравоохранение, организации должны сохранять бдительность и проявлять инициативу в своих мерах кибербезопасности. Своевременное предупреждение Microsoft подчеркивает растущую потребность организаций здравоохранения в использовании надежных протоколов безопасности, включая современное антивирусное программное обеспечение и безопасные сетевые практики, чтобы отражать эти все более сложные угрозы.
Опережая такие группировки, как Vanilla Tempest, сектор здравоохранения может лучше защитить свои ценные данные и не стать следующей жертвой этой схемы финансового и информационного вымогательства.