微軟警告針對醫療保健系統的 INC 勒索軟體存在危險和破壞性
微軟最近發布了關於一種名為INC 的新勒索軟體威脅的警告,該威脅針對的是美國醫療保健產業。這項消息來自微軟的威脅情報團隊,該團隊一直在密切監視一個名為 Vanilla Tempest(以前稱為 DEV-0832)的具有經濟動機的駭客組織的活動。
Table of Contents
香草風暴及其策略
Vanilla Tempest 的網路攻擊非常複雜,並且涉及一個協調良好的過程。該組織的策略包括接收臭名昭著的威脅者 Storm-0494 精心策劃的GootLoader感染的移交。在 GootLoader 交付後,他們使用各種工具來獲得對目標系統的控制,包括:
- Supper :惡意後門程式
- AnyDesk :合法的遠端監控和管理工具
- MEGA :用於資料同步的雲端儲存工具
一旦進入系統,攻擊者就會使用遠端桌面協定 (RDP) 和 Windows Management Instrumentation (WMI) 提供者主機發動橫向移動,然後最終部署INC 勒索軟體負載。
跨多個部門的日益增長的威脅
Vanilla Tempest 至少自 2022 年 7 月起就一直活躍,之前針對的是教育、IT 和製造業等行業。過去,他們曾使用 BlackCat、Quantum Locker、Zeppelin 和 Rhysida 等惡名昭彰的勒索軟體。然而,鑑於醫療保健行業的重要性及其處理的大量敏感數據,它已成為主要目標。
值得注意的是,Vanilla Tempest 也被稱為Vice Society,該組織傾向於利用現有的勒索軟體儲物櫃,而不是開發自己的勒索軟體儲物櫃,這項策略使他們能夠快速有效地採取行動。
不斷發展的逃避檢測的技術
勒索軟體團夥不斷改進其策略以避免被發現。在相關開發中,BianLian 和 Rhysida 等組織被發現使用 Azure Storage Explorer 和 AzCopy 等工具從受感染的系統中竊取敏感資料。這些旨在管理 Azure 儲存的工具現在正被重新用於將大規模資料傳輸到雲端存儲,這使得網路安全團隊很難檢測和阻止這些攻擊。
保護醫療保健部門
隨著勒索軟體組織不斷創新其技術,特別是針對醫療保健等重要部門,組織必須在網路安全措施中保持警惕和積極主動。微軟的及時警告強調了醫療保健組織越來越需要採用強大的安全協議,包括最新的反惡意軟體軟體和安全網路實踐,以抵禦這些日益複雜的威脅。
透過領先 Vanilla Tempest 等勒索軟體組織,醫療保健產業可以更好地保護其寶貴數據,並避免成為這種財務和數據勒索計畫的下一個受害者。