19 de septiembre de 2024Ravie Lakshmanan Healthcare / Malware
Microsoft ha revelado que se ha observado que actores de amenazas con motivación financiera se dirigen por primera vez al sector sanitario de EE. UU. utilizando un ransomware llamado INC.
El equipo de inteligencia de amenazas del gigante tecnológico está rastreando esta actividad bajo el nombre de Vanilla Tempest (anteriormente conocido como DEV-0832).
“Vanilla Tempest recibe una transferencia de la infección GootLoader por parte del actor de amenazas Storm-0494, que luego implementa herramientas como la puerta trasera Supper, la herramienta legítima de administración y monitoreo remoto (RMM) AnyDesk y la herramienta de sincronización de datos MEGA”. Serie de publicaciones compartidas en X.
En el siguiente paso, el atacante realiza un movimiento lateral a través del Protocolo de escritorio remoto (RDP) y utiliza un host proveedor de Instrumental de administración de Windows (WMI) para implementar la carga útil del ransomware INC.
Según el fabricante de Windows, Vanilla Tempest ha estado activo desde al menos julio de 2022, y ataques anteriores han utilizado una variedad de familias de ransomware, incluidos BlackCat, Quantum Locker, Zeppelin y Rhysida, para ejecutar educación, atención médica y TI. apuntar a la industria manufacturera.
En particular, a este actor de amenazas también se le rastrea bajo el nombre de Vice Society. Vice Society es conocida por aprovechar los casilleros existentes para llevar a cabo sus ataques, en lugar de crear sus propias versiones personalizadas.
La medida se produce cuando se ha observado que grupos de ransomware como BianLian y Rhysida utilizan cada vez más Azure Storage Explorer y AzCopy para filtrar datos confidenciales de redes comprometidas con el fin de evadir la detección. Esto sucedió en respuesta a la situación.
“Esta herramienta, utilizada para administrar el almacenamiento de Azure y los objetos que contiene, está siendo reutilizada por actores de amenazas para transferencias de datos a gran escala al almacenamiento en la nube”, dijo el investigador de modePUSH, Britton Manahan.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/microsoft-warns-of-new-inc-ransomware.html
