Microsoft varnar för farliga och försvagande INC Ransomware som riktar sig till hälsovårdssystem
Microsoft har nyligen utfärdat en varning om ett nytt ransomware-hot, kallat INC , som riktar sig mot den amerikanska hälsovårdssektorn. Det här avslöjandet kommer från Microsofts team för hotintelligens, som noga har övervakat aktiviteterna hos en ekonomiskt motiverad hackergrupp, känd som Vanilla Tempest (tidigare DEV-0832).
Table of Contents
Vanilla Tempest och dess taktik
Vanilla Tempests cyberattacker är sofistikerade och involverar en väl koordinerad process. Gruppens taktik inkluderar att ta emot hand-offs från GootLoader- infektioner orkestrerade av den ökända hotskådespelaren Storm-0494. Efter leveransen av GootLoader använder de en mängd olika verktyg för att få kontroll över målsystemen, inklusive:
- Supper : Ett skadligt bakdörrsprogram
- AnyDesk : Ett legitimt verktyg för fjärrövervakning och hantering
- MEGA : Ett molnlagringsverktyg som används för datasynkronisering
Väl inne i systemet initierar angriparna sidorörelser med hjälp av Remote Desktop Protocol (RDP) och Windows Management Instrumentation (WMI) Provider Host, innan de slutligen distribuerar INC ransomware- nyttolasten.
Ett växande hot i flera sektorer
Vanilla Tempest har varit aktiv sedan åtminstone juli 2022, tidigare inriktat på branscher som utbildning, IT och tillverkning. Tidigare har de använt ökända ransomware-stammar som BlackCat, Quantum Locker, Zeppelin och Rhysida. Sjukvårdssektorn har dock blivit ett främsta mål , med tanke på dess kritiska karaktär och de stora mängder känsliga uppgifter som den hanterar.
Noterbart är Vanilla Tempest också känd under aliaset Vice Society, en grupp som föredrar att utnyttja redan existerande ransomware-skåp istället för att utveckla sina egna, en strategi som gör att de kan agera snabbt och effektivt.
Utvecklande tekniker för att undvika upptäckt
Ransomware-gäng utvecklar ständigt sin taktik för att undvika upptäckt. I en relaterad utveckling har grupper som BianLian och Rhysida observerats använda verktyg som Azure Storage Explorer och AzCopy för att exfiltrera känslig data från komprometterade system. Dessa verktyg, designade för att hantera Azure-lagring, används nu för storskaliga dataöverföringar till molnlagring, vilket gör det svårt för cybersäkerhetsteam att upptäcka och förhindra dessa attacker.
Skydda sjukvårdssektorn
Eftersom ransomware-grupper fortsätter att förnya sina tekniker, särskilt inriktade på viktiga sektorer som hälso- och sjukvård, måste organisationer förbli vaksamma och proaktiva i sina cybersäkerhetsåtgärder. Microsofts snabba varning understryker det växande behovet för hälsovårdsorganisationer att använda robusta säkerhetsprotokoll, inklusive uppdaterad anti-malware-programvara och säker nätverkspraxis, för att avvärja dessa allt mer sofistikerade hot.
Genom att ligga före ransomware-grupper som Vanilla Tempest kan hälso- och sjukvårdssektorn bättre skydda sin värdefulla data och undvika att bli nästa offer för detta ekonomiska och datautpressande system.