Imagen: Durante el viaje
Microsoft anunció que la organización de ransomware que rastrea como Vanilla Tempest actualmente está apuntando a organizaciones de atención médica de EE. UU. con ataques de ransomware INC.
INC Ransom es una empresa de ransomware como servicio (RaaS) cuyas filiales operan desde julio de 2023, incluida Yamaha Motor Filipinas, la división estadounidense de Xerox Business Solutions (XBS) y, más recientemente, Scottish National Health. y organizaciones privadas, incluido el NHS.
En mayo de 2024, un actor de amenazas conocido como “salfetka” afirmó haber vendido el código fuente de las versiones cifradas de INC Ransom para Windows y Linux/ESXi por 300.000 dólares en un foro de piratería de exploits y XSS.
Microsoft dijo el miércoles que sus analistas de amenazas han confirmado que los actores de amenazas Vanilla Tempest con motivación financiera han utilizado el ransomware INC para atacar el sector sanitario de EE. UU. por primera vez.
Durante el ataque, Vanilla Tempest obtuvo acceso a la red a través del actor de amenazas Storm-0494 e infectó los sistemas de las víctimas con el descargador de malware Gootloader.
Después del compromiso, los atacantes utilizaron el malware Supper para instalar una puerta trasera en el sistema e implementaron las legítimas herramientas de sincronización de datos MEGA y monitoreo remoto AnyDesk.
Luego, los atacantes se movieron lateralmente utilizando el Protocolo de escritorio remoto (RDP) y los hosts del proveedor de Instrumental de administración de Windows para implementar el ransomware INC en la red de la víctima.
Microsoft no ha publicado los nombres de las víctimas del ataque médico INC ransomware lanzado por Vanilla Tempest, pero el mismo ransomware también estuvo vinculado a un ciberataque al McLaren Healthcare Hospital en Michigan el mes pasado.
El ataque interrumpió los sistemas telefónicos y de TI, dejando a los sistemas de salud sin poder acceder a las bases de datos de información de los pacientes y obligándolos a reprogramar algunas citas y procedimientos electivos y que no eran de emergencia “por precaución”.
¿Quién es Vanilla Tempest?
Vanilla Tempest (anteriormente rastreada como DEV-0832 y Vice Society), que ha estado activa desde al menos principios de junio de 2021, utiliza varias cepas de ransomware, incluidas BlackCat, Quantum Locker, Zeppelin y Rhysida, y se ha dirigido con frecuencia a sectores como la educación y la atención sanitaria. , TI y fabricación.
Durante su época como Vice Society, se sabía que este actor de amenazas utilizaba múltiples cepas de ransomware durante sus ataques, incluidos Hello Kitty/Five Hands y Zeppelin ransomware.
En agosto de 2023, Checkpoint reveló un vínculo entre Vice Society y el grupo de ransomware Rhysida. Rhysida, otra organización conocida por apuntar a la industria de la salud, intentó vender datos de pacientes robados del Lurie Children's Hospital de Chicago.
https://www.bleepingcomputer.com/news/microsoft/microsoft-vanilla-tempest-hackers-hit-healthcare-with-inc-ransomware/
