微软警告称,INC 勒索软件将针对医疗保健系统,危害巨大
微软最近发布了有关一种新型勒索软件威胁的警告,该威胁名为INC ,针对美国医疗保健行业。这一消息来自微软威胁情报团队,该团队一直在密切监视一个以经济为目的的黑客组织 Vanilla Tempest(以前称为 DEV-0832)的活动。
Table of Contents
香草风暴及其战术
Vanilla Tempest 的网络攻击手段高明,且经过精心策划。该组织的策略包括接收由臭名昭著的威胁行为者 Storm-0494 精心策划的GootLoader感染。在 GootLoader 感染之后,他们使用各种工具来控制目标系统,包括:
- Supper :恶意后门程序
- AnyDesk :合法的远程监控和管理工具
- MEGA :用于数据同步的云存储工具
一旦进入系统,攻击者就会使用远程桌面协议 (RDP) 和 Windows 管理规范 (WMI) 提供程序主机发起横向移动,最终部署INC 勒索软件负载。
跨多个领域的威胁日益严重
Vanilla Tempest 至少从 2022 年 7 月开始活跃,之前的目标是教育、IT 和制造业等行业。过去,他们曾使用过臭名昭著的勒索软件,如 BlackCat、Quantum Locker、Zeppelin 和 Rhysida。然而,由于医疗保健行业的关键性质及其处理的大量敏感数据,该行业已成为主要目标。
值得注意的是,Vanilla Tempest 也被称为 Vice Society,这个组织倾向于利用现有的勒索软件存储柜而不是开发自己的勒索软件存储柜,这种策略使他们能够快速有效地采取行动。
逃避检测的技术不断发展
勒索软件团伙不断改进策略以避免被发现。在相关发展中,人们观察到 BianLian 和 Rhysida 等团体使用 Azure 存储资源管理器和 AzCopy 等工具从受感染的系统中窃取敏感数据。这些用于管理 Azure 存储的工具现在被重新用于将大规模数据传输到云存储,这使得网络安全团队很难检测和防止这些攻击。
保护医疗保健行业
随着勒索软件团体不断创新其技术,特别是针对医疗保健等重要行业,组织必须保持警惕并积极采取网络安全措施。微软的及时警告强调,医疗保健组织越来越需要采用强大的安全协议,包括最新的反恶意软件和安全网络实践,以抵御这些日益复杂的威胁。
通过领先于 Vanilla Tempest 等勒索软件组织,医疗保健行业可以更好地保护其宝贵的数据,并避免成为这种金融和数据勒索计划的下一个受害者。