ClickCease Microsoft 알림: 미국 의료를 표적으로 삼는 새로운 INC 랜섬웨어 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Microsoft 알림: 미국 의료계를 노리는 새로운 INC 랜섬웨어

by 와자핫 라자

2024년 10월 2일 TuxCare 전문가 팀

최근의 Microsoft 경고에 따르면 악의적인 금전적 동기를 가진 위협 행위자가 새로운 INC 랜섬웨어 변종을 활용하여 미국(미국)의 의료 부문을 표적으로 삼는 것이 관찰되었습니다. 이 문서에서는 자세한 내용을 살펴보고 위협 행위자가 누구이며 이러한 공격이 어떻게 수행되는지 알아보겠습니다. 시작하겠습니다!

Microsoft 알림 바닐라 템페스트에서

자세한 내용은 Microsoft 경보의 세부 정보를 바탕으로 위협 인텔리전스 팀은 이 위협 행위자와 관련된 활동을 이전에 DEV-0832 및 Vice Society로 알려진 Vanilla Tempest라는 이름으로 추적하고 있습니다.

2021년부터 이 위협 행위자는 교육, 의료, IT, 제조 등 다양한 분야를 표적으로 삼는 것으로 명성을 쌓아왔습니다. 이러한 공격에 사용된 다양한 랜섬웨어 변종은 다음과 같습니다:  

  • Rhysida
  • 제플린. 
  • BlackCat. 
  • 퀀텀 락커. 

소프트웨어 기술 회사인 체크포인트는 또한 바닐라 템페스트와 리시다 랜섬웨어 그룹을 연결했습니다. 이 그룹은 시카고 루리 아동 병원에서 수집한 환자 데이터를 판매하기 위해 의료 부문을 노린 공격도 수행한 것으로 밝혀졌습니다.

악의적인 온라인 범죄 그룹인 바이스 소사이어티의 활동을 고려할 때, 이 위협 행위자는 맞춤형 버전을 개발하는 대신 이미 존재하는 락커를 공격에 사용하는 것으로 알려져 있습니다. 

INC 랜섬웨어

회복과 보호에 관심이 있는 분들 복구 및 보호 에 대한 복구 및 보호에 관심이 있으신 분들은 Microsoft 경보 는 서비스형 랜섬웨어(RaaS)라는 것을 알아야 합니다. 이 랜섬웨어와 관련된 악의적인 온라인 작업은 2023년 7월부터 공공 및 민간 조직 모두를 표적으로 삼았습니다. 이러한 표적에는 다음이 포함됩니다:

  • 야마하 모터 필리핀. 
  • 스코틀랜드 국민건강서비스(NHS).
  • 제록스 비즈니스 솔루션(XBS)의 미국 사업부입니다.

2024년 5월에 INC 랜섬의 윈도우 및 리눅스/ESXi 암호화기 버전의 소스 코드가 30만 달러에 판매되었다는 사실을 언급할 필요가 있습니다. 이 판매의 배후에 있는 위협 행위자는 "salfetka" 익스플로잇 및 XSS 해킹 포럼에서 이 사실을 발표했습니다.

바닐라 폭풍 공격 체인

에 따르면 Microsoft 경보에 따르면 최근 미국 의료 부문에 대한 사이버 공격은 이 위협 행위자가 INC 랜섬 도구를 사용한 첫 번째 사례입니다. 위협 인텔리전스 Microsoft 경보는 X에 대한 일련의 게시물에서 명시 그:

"바닐라 템페스트는 위협 행위자인 Storm-0494에 의해 구트 로더 감염으로부터 핸드오프를 받은 후 Supper 백도어, 합법적인 AnyDesk 원격 모니터링 및 관리(RMM) 도구, MEGA 데이터 동기화 도구와 같은 도구를 배포합니다."

툴이 배포되면 공격자는 다음을 사용하여 손상된 네트워크를 통해 측면으로 이동하기 시작합니다. 원격 데스크톱 프로토콜. 그 후, 위협 행위자는 랜섬웨어 페이로드의 배포를 위해 WMI(Windows 관리 계측) 공급자 호스트를 사용합니다.

언론 보도 와 관련된 Microsoft 경고 에 따르면 이러한 위협 행위자 그룹은 탐지를 회피하면서 중요한 데이터를 추출하기 위해 Azure Storage Explorer 및 AzCopy를 사용한다고 합니다.

결론 

바닐라 템페스트의 부상과 미국 의료계를 겨냥한 INC 랜섬웨어의 배포는 중요 부문이 직면하고 있는 사이버 위협이 계속되고 있음을 보여줍니다. 조직은 경계를 늦추지 않고 강력한 사이버 보안 조치를 채택하고, 이러한 위협 행위자들이 사용하는 진화하는 전술을 면밀히 모니터링하여 잠재적인 피해를 완화해야 합니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스테크 비즈니스 뉴스.

 

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기