Un actor de amenazas con motivación financiera rastreado como Vanilla Tempest está apuntando al sector de la salud con el ransomware INC.
Microsoft Threat Intelligence, en una serie de publicaciones sobre herramientas administrativas, y observó el despliegue de herramientas como la herramienta de sincronización de datos MEGA.
Luego, Vanilla Tempest realizó un movimiento lateral a través del Protocolo de escritorio remoto (RDP) y utilizó hosts proveedores de Instrumental de administración de Windows (WMI) para implementar la carga útil del ransomware INC. Esta es una novedad para los actores de amenazas.
Según una publicación de Microsoft, Vanilla Tempest ha estado activa desde julio de 2022, apuntando a las industrias de educación, atención médica, TI y manufactura con ataques que involucran varias cargas útiles de ransomware, incluidas ALPH/BlackCat, Quantum Locker, Zeppelin y Rhysida. el objetivo principal.
Morgan Wright, asesor jefe de seguridad de SentinelOne, señaló que dado que INC es un negocio de ransomware como servicio (RaaS), “el potencial de nuevos ataques es natural”.
Wright, columnista de SC Media, añadió que los corredores de acceso proporcionaron el medio inicial de entrada. En este caso, se trató de un actor de amenazas identificado como Storm-0494.
“El malware GootLoader parece utilizar el envenenamiento de SEO para el acceso de primera etapa y la entrega de carga útil”, dijo Wright. “La inteligencia sobre amenazas, los parches actualizados y la capacitación actualizada de concientización de los usuarios que resalta estas amenazas son esenciales para detener este tipo de amenazas”.
Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security, dijo que las tácticas utilizadas, como el movimiento lateral con RDP y la introducción de herramientas formales como AnyDesk, no son innovadoras, pero son consistentes en el campo de la salud. énfasis puesto en
“Los actores de amenazas como ALPHV/BlackCat han estado explotando la infraestructura obsoleta de la industria y su dependencia crítica de datos confidenciales durante años. Estamos haciendo lo mismo”, dice Tiquet. “En el panorama de amenazas más amplio, el enfoque de Vanilla Tempest en el sector de la salud encaja en un patrón más amplio de atacantes que aprovechan cepas cada vez más sofisticadas de ransomware para explotar las vulnerabilidades en esta industria. Los actores de amenazas ALPHV como /BlackCat demuestran que la infraestructura obsoleta de la industria y su dependencia excesiva de datos sensibles Los datos lo convierten en un objetivo atractivo.
David Finn, vicepresidente ejecutivo de gobernanza, riesgo y cumplimiento de First Health Advisory, dice que esta noticia sobre INC es solo otro grupo de ransomware dirigido a sectores que están menos preparados para los ataques. Agregó que fue fácil. Pero Finn dijo que la noticia complica el entorno general de seguridad para los proveedores. Con diferentes grupos y diferentes atacantes, los ataques pueden volverse más frecuentes, lo que ejerce una presión adicional sobre las defensas.
“Vanilla Tempest y ALPHV/BlackCat normalmente se centran en la exfiltración de datos antes de lanzar ransomware, lo que aumenta el riesgo de que los datos sean exfiltrados o vendidos”, explica Finn. “Más atacantes significa más tácticas, respuestas potencialmente diferentes y escenarios de respuesta a incidentes más complejos. Además, como los malos actores tienen que competir entre sí para maximizar las ganancias, las demandas de rescate pueden aumentar. Este creciente panorama de amenazas requiere una mayor colaboración entre los proveedores y la seguridad. expertos, fuerzas del orden, agencias gubernamentales responsables de la ciberseguridad e ISAC Necesitamos compartir las mejores prácticas”.
Itzik Alvas, cofundador y director ejecutivo de Entro Security, dijo que Vanilla Tempest amplía su alcance explotando identidades no humanas (NHI) mal protegidas, como las cuentas de servicio utilizadas para RDP y WMI. Dice que se está expandiendo.
“Al aprovechar la orientación vertical y el movimiento horizontal, los atacantes pronto ampliarán el alcance del NHI que pueden comprometer al apuntar a servicios de salud y activos críticos más vulnerables”, dijo Alvas. “Para protegerse contra esta amenaza inminente, las organizaciones de atención médica deben aumentar la visibilidad del uso de NHI en sus entornos, otorgar permisos y asegurar el ciclo de vida completo de estas identidades dentro de sus entornos. Necesitamos establecer procedimientos enfocados”.
https://www.scmagazine.com/news/vanilla-tempest-leverages-inc-ransomware-to-target-healthcare-sector
