Se observó que Vanilla Tempest, el grupo de ransomware también conocido como Vice Society, implementaba la cepa de ransomware INC por primera vez dirigida al sector sanitario de EE. UU.
Esto es según los investigadores de ciberseguridad de Microsoft que recientemente detallaron sus últimos hallazgos sobre X Thread.
En el hilo, la compañía afirma que Vanilla Tempest primero escapa a la infección de Gootloader por Storm-0494 y luego implementa varios malware y software como Supper, AnyDesk y MEGA.
asociación de vicio
Este grupo utiliza el Protocolo de escritorio remoto (RDP) para el movimiento lateral y utiliza hosts del proveedor de Instrumental de administración de Windows para implementar el ransomware INC.
Desafortunadamente, Microsoft no ha revelado a qué organizaciones se dirigió Vanilla Tempest ni qué tan exitoso fue. Los ataques de ransomware contra empresas de atención médica suelen provocar la pérdida de datos médicos altamente confidenciales y una compensación potencialmente significativa.
Vanilla Tempest, también conocida como Vice Society, es un actor de amenazas activo desde mediados de 2022. Por lo general, se dirige a las industrias de educación, atención médica, TI y manufactura y es conocido por cambiar con frecuencia entre diferentes herramientas de cifrado. Los afiliados suelen utilizar una o dos herramientas de cifrado, pero se ha visto a Vanilla Tempest utilizando BlackCat, Quantum Locker, Zeppelin, Rhysida y más.
Microsoft advirtió en octubre de 2022 sobre Vanilla Tempest, que se sabe que apunta a escuelas de EE. UU. e intercambia cargas útiles de ransomware. En algunos casos, el grupo se salta por completo la parte de cifrado y solo roba los datos, añadió Microsoft.
Entre las víctimas se encuentran el gigante sueco de muebles IKEA y el Distrito Escolar Unificado de Los Ángeles (LAUSD). IKEA se vio afectada a finales de noviembre de 2022, lo que obligó a las tiendas de Marruecos y Kuwait a cerrar partes de su infraestructura. Meses antes, LAUSD había intentado negociar con el grupo para mantener en privado los datos confidenciales robados, pero las negociaciones fracasaron.
“Desafortunadamente, y como era de esperar, los datos fueron comprometidos recientemente por una organización criminal”, anunció en breve el Distrito Escolar Unificado de Los Ángeles. “En colaboración con las autoridades, nuestros expertos están analizando el alcance total de esta violación de datos”.
Hasta el día de hoy se desconoce la identidad del hacker.
De noticias de hackers
Más artículos de TechRadar Pro
https://www.techradar.com/pro/security/microsoft-warns-us-healthcare-of-threat-actor-using-new-ransomware
