ClickCease Alerta de Microsoft: el nuevo ransomware INC se dirige a la sanidad estadounidense - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Alerta de Microsoft: el nuevo ransomware INC se dirige a la sanidad estadounidense

por Wajahat Raja

2 de octubre de 2024 - Equipo de expertos TuxCare

Según una reciente alerta de Microsoftse ha observado a un actor de amenazas con motivos financieros maliciosos utilizando una nueva cepa de ransomware INC para atacar al sector sanitario en Estados Unidos. En este artículo, nos sumergiremos en los detalles y determinaremos quién es el actor de la amenaza y cómo se llevan a cabo estos ataques. Comencemos.

Alerta Microsoft Sobre Vanilla Tempest

Dados los detalles de la alerta de Microsoftlos equipos de inteligencia de amenazas están rastreando actividades relacionadas con este actor de amenazas bajo el nombre de Vanilla Tempest, anteriormente conocido como DEV-0832 y Vice Society.

Desde 2021, esta amenaza se ha ganado la reputación de atacar diferentes sectores, como la educación, la sanidad, las TI y la industria. Entre las diversas cepas de ransomware utilizadas en estos ataques se incluyen:  

  • Rhysida
  • Zeppelin. 
  • BlackCat. 
  • Quantum Locker. 

CheckPoint, una empresa de tecnologías de software, también relacionó a Vanilla Tempest con un grupo de ransomware de Rhysida. Se reveló que los ataques realizados por ese grupo también iban dirigidos al sector sanitario, con el objetivo de vender datos de pacientes adquiridos en el Hospital Infantil Lurie de Chicago.

Dadas las actividades del actor de la amenaza como Vice Society, se cree que el grupo de delincuencia en línea maliciosa es conocido por utilizar casilleros ya existentes para sus ataques en lugar de desarrollar una versión personalizada. 

El ransomware INC

Los interesados en garantizar recuperación y protección contra este tipo de amenazas en línea deben saber que el ransomware INC mencionado en la Alerta de Microsoft es un ransomware como servicio (RaaS). Las operaciones maliciosas en línea relacionadas con su uso han tenido como objetivo organizaciones públicas y privadas desde julio de 2023. Estos objetivos incluyen:

  • Yamaha Motor Filipinas. 
  • Servicio Nacional de Salud de Escocia (NHS).
  • La división estadounidense de Xerox Business Solutions (XBS).

Cabe mencionar que el código fuente de las versiones de cifrado de INC Ransom para Windows y Linux/ESXi se puso a la venta en mayo de 2024 por 300.000 dólares. El autor de la amenaza era "salfetka y el anuncio se hizo en los foros de hacking Exploit y XSS.

Cadena de ataque de la Tempestad de vainilla

Según la alerta de Microsoftlos recientes ciberataques al sector sanitario estadounidense son la primera vez que este actor de amenazas utiliza la herramienta INC Ransom. La información sobre amenazas alerta de Microsoft, en una serie de posts sobre X, ha afirmado que:

"Vanilla Tempest recibe hand-offs de infecciones de GootLoader por parte del actor de amenazas Storm-0494, antes de desplegar herramientas como el backdoor Supper, la herramienta legítima de monitorización y gestión remota (RMM) AnyDesk y la herramienta de sincronización de datos MEGA."

Una vez desplegadas las herramientas, los atacantes comienzan a moverse lateralmente por una red comprometida utilizando protocolos de escritorio remoto. A continuación, utilizan el host proveedor de Windows Management Instrumentation (WMI) para desplegar la carga útil del ransomware.

Informes de los medios de comunicación relativos a la alerta de Microsoft afirman que estos grupos de actores de amenazas también se basan en el uso de Azure Storage Explorer y AzCopy para extraer datos confidenciales mientras intentan evadir la detección.

Conclusión 

El auge de Vanilla Tempest y el despliegue del ransomware INC contra la sanidad estadounidense ponen de manifiesto las continuas ciberamenazas a las que se enfrentan los sectores críticos. Las organizaciones deben permanecer vigilantes, adoptar medidas de ciberseguridad sólidasy vigilar de cerca la evolución de las tácticas utilizadas por estos actores para mitigar los posibles daños.

Las fuentes de este artículo incluyen artículos en The Hacker News y Tech Business News.

 

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín