Microsoft a dezvăluit miercuri că analiștii săi de amenințări au observat actorul de amenințări Vanilla Tempest folosind ransomware-ul INC pentru prima dată într-un atac asupra sectorului sănătății din SUA.
În timpul atacului, Vanilla Tempest a obținut acces la rețea prin intermediul actorului de amenințări Storm-0494, care a infectat sistemele victimei cu downloader-ul de malware Gootloader.
Odată ce au intrat, atacatorii au instalat malware-ul Supper și au folosit instrumente legitime de monitorizare la distanță AnyDesk și sincronizare a datelor MEGA.
Atacatorii s-au deplasat lateral folosind Protocolul Desktop la Distanță (RDP) și gazda Furnizorului de Instrumentație a Managementului Windows pentru a implementa ransomware-ul INC în rețeaua victimei.
Deși Microsoft nu a dezvăluit numele victimei lovite de atacul de securitate cibernetică Vanilla Tempest-orchestrat cu ransomware-ul INC în sectorul sănătății, aceeași tulpină de ransomware a fost legată de un atac cibernetic împotriva spitalelor McLaren Health Care din Michigan luna trecută.
Atacul a perturbat sistemele IT și de telefonie, a determinat sistemul de sănătate să piardă accesul la bazele de date cu informații despre pacienți și a forțat reprogramarea unor programări și proceduri neemergente sau elective „din precauție”.
Activ din cel puțin iunie 2021, Vanilla Tempest (anterior urmărit sub numele de DEV-0832 și Vice Society) a vizat frecvent sectoare, inclusiv educația, sănătatea, IT-ul și producția, folosind diverse tulpini de ransomware precum BlackCat, Quantum Locker, Zeppelin și Rhysida.
În timp ce era activ ca Vice Society, actorul de amenințări era cunoscut pentru folosirea mai multor tulpini de ransomware în timpul atacurilor, inclusiv ransomware-ul Hello Kitty/Five Hands și Zeppelin.
CheckPoint l-a legat pe Vice Society de banda de ransomware Rhysida în august 2023, o altă operațiune cunoscută pentru vizarea sectorului sănătății, care a încercat să vândă datele pacienților furate de la Spitalul pentru Copii Lurie din Chicago.
Ransomware-ul INC amenință să facă publice 3TB de date furate din NHS Scotland
Perturbarea spitalelor McLaren legată de atacul cu ransomware-ul INC
Sursa de cod a ransomware-ului INC se vinde pe forumuri de hacking pentru 300.000 dolari
Xerox spune că subsidiara XBS U.S. a fost compromisă după ce banda de ransomware a făcut publice datele
Planned Parenthood confirmă un atac cibernetic în timp ce RansomHub susține că a avut loc o breșă
Leave a Reply