Alerta de Microsoft: el nuevo ransomware INC se dirige a la sanidad estadounidense
Según una reciente alerta de Microsoftse ha observado a un actor de amenazas con motivos financieros maliciosos utilizando una nueva cepa de ransomware INC para atacar al sector sanitario en Estados Unidos. En este artículo, nos sumergiremos en los detalles y determinaremos quién es el actor de la amenaza y cómo se llevan a cabo estos ataques. Comencemos.
Alerta Microsoft Sobre Vanilla Tempest
Dados los detalles de la alerta de Microsoftlos equipos de inteligencia de amenazas están rastreando actividades relacionadas con este actor de amenazas bajo el nombre de Vanilla Tempest, anteriormente conocido como DEV-0832 y Vice Society.
Desde 2021, esta amenaza se ha ganado la reputación de atacar diferentes sectores, como la educación, la sanidad, las TI y la industria. Entre las diversas cepas de ransomware utilizadas en estos ataques se incluyen:
- Rhysida
- Zeppelin.
- BlackCat.
- Quantum Locker.
CheckPoint, una empresa de tecnologías de software, también relacionó a Vanilla Tempest con un grupo de ransomware de Rhysida. Se reveló que los ataques realizados por ese grupo también iban dirigidos al sector sanitario, con el objetivo de vender datos de pacientes adquiridos en el Hospital Infantil Lurie de Chicago.
Dadas las actividades del actor de la amenaza como Vice Society, se cree que el grupo de delincuencia en línea maliciosa es conocido por utilizar casilleros ya existentes para sus ataques en lugar de desarrollar una versión personalizada.
El ransomware INC
Los interesados en garantizar recuperación y protección contra este tipo de amenazas en línea deben saber que el ransomware INC mencionado en la Alerta de Microsoft es un ransomware como servicio (RaaS). Las operaciones maliciosas en línea relacionadas con su uso han tenido como objetivo organizaciones públicas y privadas desde julio de 2023. Estos objetivos incluyen:
- Yamaha Motor Filipinas.
- Servicio Nacional de Salud de Escocia (NHS).
- La división estadounidense de Xerox Business Solutions (XBS).
Cabe mencionar que el código fuente de las versiones de cifrado de INC Ransom para Windows y Linux/ESXi se puso a la venta en mayo de 2024 por 300.000 dólares. El autor de la amenaza era "salfetka y el anuncio se hizo en los foros de hacking Exploit y XSS.
Cadena de ataque de la Tempestad de vainilla
Según la alerta de Microsoftlos recientes ciberataques al sector sanitario estadounidense son la primera vez que este actor de amenazas utiliza la herramienta INC Ransom. La información sobre amenazas alerta de Microsoft, en una serie de posts sobre X, ha afirmado que:
"Vanilla Tempest recibe hand-offs de infecciones de GootLoader por parte del actor de amenazas Storm-0494, antes de desplegar herramientas como el backdoor Supper, la herramienta legítima de monitorización y gestión remota (RMM) AnyDesk y la herramienta de sincronización de datos MEGA."
Una vez desplegadas las herramientas, los atacantes comienzan a moverse lateralmente por una red comprometida utilizando protocolos de escritorio remoto. A continuación, utilizan el host proveedor de Windows Management Instrumentation (WMI) para desplegar la carga útil del ransomware.
Informes de los medios de comunicación relativos a la alerta de Microsoft afirman que estos grupos de actores de amenazas también se basan en el uso de Azure Storage Explorer y AzCopy para extraer datos confidenciales mientras intentan evadir la detección.
Conclusión
El auge de Vanilla Tempest y el despliegue del ransomware INC contra la sanidad estadounidense ponen de manifiesto las continuas ciberamenazas a las que se enfrentan los sectores críticos. Las organizaciones deben permanecer vigilantes, adoptar medidas de ciberseguridad sólidasy vigilar de cerca la evolución de las tácticas utilizadas por estos actores para mitigar los posibles daños.
Las fuentes de este artículo incluyen artículos en The Hacker News y Tech Business News.