Η Microsoft λέει ότι μια θυγατρική εταιρεία ransomware την παρακολουθεί καθώς το Vanilla Tempest στοχεύει πλέον οργανισμούς υγειονομικής περίθαλψης στις ΗΠΑ σε επιθέσεις ransomware INC.
Το INC Ransom είναι μια επιχείρηση ransomware-as-a-service (RaaS) της οποίας οι θυγατρικές έχουν στοχεύσει δημόσιους και ιδιωτικούς οργανισμούς από τον Ιούλιο του 2023, συμπεριλαμβανομένης της Yamaha Motor Philippines, του αμερικανικού τμήματος Xerox Business Solutions (XBS) και, πιο πρόσφατα, της Scotland’s National Υπηρεσία Υγείας (NHS).
Τον Μάιο του 2024, ένας ηθοποιός απειλών που ονομάζεται “salfetka” ισχυρίστηκε ότι πούλησε τον πηγαίο κώδικα των εκδόσεων κρυπτογράφησης Windows και Linux/ESXi της INC Ransom για 300.000 $ στα φόρουμ hacking Exploit και XSS.
Microsoft αποκαλύφθηκε την Τετάρτη ότι οι αναλυτές απειλών της παρατήρησαν τον παράγοντα απειλών Vanilla Tempest με οικονομικά κίνητρα να χρησιμοποιεί για πρώτη φορά ransomware της INC σε μια επίθεση στον τομέα της υγειονομικής περίθαλψης των ΗΠΑ.
Κατά τη διάρκεια της επίθεσης, το Vanilla Tempest απέκτησε πρόσβαση στο δίκτυο μέσω του ηθοποιού απειλής Storm-0494, ο οποίος μόλυνσε τα συστήματα του θύματος με το πρόγραμμα λήψης κακόβουλου λογισμικού Gootloader.
Μόλις μπήκαν μέσα, οι εισβολείς παρέσυραν τα συστήματα με κακόβουλο λογισμικό Supper και ανέπτυξαν τα νόμιμα εργαλεία απομακρυσμένης παρακολούθησης AnyDesk και συγχρονισμού δεδομένων MEGA.
Στη συνέχεια, οι εισβολείς μετακινήθηκαν πλευρικά χρησιμοποιώντας το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) και τον κεντρικό υπολογιστή παροχής οργάνων διαχείρισης των Windows για να αναπτύξουν το INC ransomware στο δίκτυο του θύματος.
Αν και η Microsoft δεν κατονόμασε το θύμα που επλήγη από την επίθεση ransomware υγειονομικής περίθαλψης που ενορχηστρώθηκε από την Vanilla Tempest, το ίδιο στέλεχος ransomware συνδέθηκε με μια κυβερνοεπίθεση εναντίον των νοσοκομείων McLaren Health Care του Μίσιγκαν τον περασμένο μήνα.
Η επίθεση διέκοψε τα συστήματα πληροφορικής και τηλεφώνων, προκάλεσε το σύστημα υγείας να χάσει την πρόσβαση στις βάσεις δεδομένων πληροφοριών ασθενών και το ανάγκασε να προγραμματίσει εκ νέου ορισμένα ραντεβού και μη επείγουσες ή εκλεκτικές διαδικασίες «από άφθονη προσοχή».
Ποιος είναι η Vanilla Tempest;
Ενεργό τουλάχιστον από τις αρχές Ιουνίου 2021, Vanilla Tempest (παρακολουθήθηκε προηγουμένως ως DEV-0832 και Vice Society) έχει στοχεύσει συχνά τομείς, όπως η εκπαίδευση, η υγειονομική περίθαλψη, η πληροφορική και η κατασκευή, χρησιμοποιώντας διάφορα στελέχη ransomware όπως το BlackCat, το Quantum Locker, το Zeppelin και το Rhysida.
Ενώ ήταν ενεργός ως Vice Society, ο παράγοντας απειλών ήταν γνωστός για τη χρήση πολλαπλών στελεχών ransomware κατά τη διάρκεια επιθέσεων, συμπεριλαμβανομένων Hello Kitty/Πέντε χέρια και Zeppelin ransomware.
Το CheckPoint συνέδεσε το Vice Society με τη συμμορία ransomware Rhysida τον Αύγουστο του 2023, μια άλλη επιχείρηση γνωστή για τη στόχευση της υγειονομικής περίθαλψης, η οποία προσπάθησε να πουλήσει δεδομένα ασθενών που είχαν κλαπεί από το νοσοκομείο Lurie Children’s Hospital στο Σικάγο.
VIA: bleepingcomputer.com
