Gestión de fraude y ciberdelincuencia, atención sanitaria, sectores específicos
Microsoft: el grupo de ransomware como servicio continúa modificando el malware para evitar la detección Marianne Korbasuk-McGee (seguridad de la información de salud) • 26 de septiembre de 2024 Imagen: Getty Images
Los atacantes identificados como 'Vanilla Tempest' (también conocido como Vice Society) parecen estar modificando el ransomware que utilizan para atacar a las organizaciones sanitarias estadounidenses. Según Microsoft Threat Intelligence, el grupo de ransomware como servicio ahora está haciendo la transición al malware INC Ransom, probablemente para evitar la detección.
Ver también: Mejores prácticas para utilizar la tecnología para proteger las comunicaciones y el fraude por correo electrónico
Vanilla Tempest: rastreado por Microsoft Threat Intelligence como DEV-0832, este virus ha utilizado al menos otras cinco cepas de malware desde su llegada al mercado del cibercrimen en 2022 y ahora es de habla rusa. Utiliza el malware INC Ransom. Microsoft cree que el propósito de este cambio es evitar la detección y maximizar la demanda de extorsión mediante la interrupción y la “exfiltración de datos para extorsión”.
“Continuamos monitoreando el ransomware de los actores de amenazas a medida que el grupo pasa de las variantes de ransomware Zeppelin de marca BlackCat, Quantum Locker, Zeppelin y Vice Society a Rhysida y, a partir de agosto de 2024, INC ransomware. Observamos que la carga útil cambia con el tiempo. “, dijo Sherrod. Dijo el director de estrategia de inteligencia de amenazas de Microsoft, DeGrippo, en un comunicado a Information Security Media Group.
Los afiliados del grupo de ransomware como servicio INC Ransom han estado atacando organizaciones en una variedad de sectores desde mediados de 2023. Los afiliados de Vanilla Tempest parecen ser los últimos en unirse a la lucha.
En agosto, el atacante de INC Ransom se atribuyó el mérito de un ataque a McLaren Health Care, con sede en Michigan. La empresa sufrió una interrupción generalizada de su TI durante varias semanas, pero desde entonces se ha recuperado. El grupo hospitalario no ha comentado sobre los atacantes, pero una foto tomada por un empleado de McLaren y publicada en X, anteriormente Twitter, mostraba la nota de rescate de INC Ransom (ver: McLaren Health Este es el segundo ataque de ransomware en un año).
“El ransomware es un ecosistema en el que diferentes grupos suministran infraestructura, herramientas, códigos, etc. Cuando estos grupos cambian o se disuelven, la cadena de suministro de ransomware experimenta una interrupción y los diferentes grupos cambian sus campañas”, dijo DeGrippo.
“Desafortunadamente, hemos confirmado un impacto desproporcionado en el sector educativo de EE. UU. por parte de Vanilla Tempest, incluida una campaña que hemos estado siguiendo desde julio de 2022. También hemos visto a este actor de amenazas apuntando a hospitales y gobiernos locales en los Estados Unidos”, dijo.
Antes de implementar su ransomware, Vanilla Tempest se basó en tácticas comúnmente utilizadas por otros atacantes de ransomware, como scripts de PowerShell y la reutilización de herramientas legítimas, dijo. Vanilla Tempest también aprovecha las vulnerabilidades disponibles públicamente para el acceso inicial y la escalada de privilegios posteriores al compromiso.
“También se ha observado el uso de malware de puerta trasera como SystemBC, PortStarter y Supper”, dijo.
Microsoft Threat Intelligence, en una publicación del 18 de septiembre sobre Said para recibir la transferencia de la infección. Herramientas de sincronización.
“Luego, el atacante realiza un movimiento lateral a través del Protocolo de escritorio remoto y utiliza el host del proveedor de instrumentos de administración de Windows para implementar la carga útil del ransomware INC”, dijo Microsoft.
Para proteger a los hospitales y otras organizaciones de este tipo de ataques, los ciberdefensores “deben centrarse en la resistencia a los eventos de ransomware”, dijo DeGrippo.
aumento de ataques
El proveedor de seguridad Sophos dijo en un nuevo informe publicado el jueves que los ataques de ransomware contra organizaciones de atención médica en realidad continúan aumentando, aunque parecen estar disminuyendo en muchas otras áreas (ver: Sophos: los ataques han disminuido en casi todas las áreas excepto en la atención médica).
Esta es una tendencia observada también por otros investigadores. Aproximadamente el 91% de las infracciones de atención médica para 2024 involucrarán ransomware, según un informe publicado el jueves por la firma de seguridad SonicWall.
Según SonicWall, estas infracciones de ransomware han afectado a aproximadamente 14 millones de pacientes en lo que va de año.
Una encuesta de Sophos entre 5.000 líderes de TI en 15 sectores encontró que la industria de la salud es la segunda con mayor probabilidad de pagar más que el rescate original exigido por los atacantes. La educación superior tenía más probabilidades de pagar más.
Los investigadores de Sophos dicen que las organizaciones a menudo terminan pagando demandas de extorsión más altas si los datos de respaldo se cifran como parte del ataque. Las instituciones de salud y educación superior “son mandatos públicos, lo que puede aumentar la necesidad de recuperar datos 'a cualquier costo'”, dijo Sophos.
https://www.bankinfosecurity.com/vanilla-tempest-now-using-inc-ransomware-in-health-sector-a-26389
