Microsoft mengatakan afiliasi ransomware yang dilacaknya sebagai Vanilla Tempest kini menargetkan organisasi perawatan kesehatan AS dalam serangan ransomware INC.
INC Ransom adalah operasi ransomware-as-a-service (RaaS) yang afiliasinya telah menargetkan organisasi publik dan swasta sejak Juli 2023, termasuk Yamaha Motor Filipinadivisi AS Solusi Bisnis Xerox(XBS), dan, baru-baru ini, Skotlandia Layanan Kesehatan Nasional (NHS).
Pada bulan Mei 2024, seorang pelaku ancaman bernama “salfetka” mengklaim menjual kode sumbernya versi enkripsi INC Ransom Windows dan Linux/ESXi seharga $300.000 di forum peretasan Exploit dan XSS.
Microsoft terungkap pada hari Rabu bahwa analis ancamannya telah mengamati aktor ancaman Vanilla Tempest yang bermotivasi finansial menggunakan ransomware INC untuk pertama kalinya dalam serangan terhadap sektor perawatan kesehatan AS.
Selama serangan tersebut, Vanilla Tempest memperoleh akses jaringan melalui aktor ancaman Storm-0494, yang menginfeksi sistem korban dengan pengunduh malware Gootloader.
Setelah masuk, penyerang memasang malware Supper pada sistem dan menyebarkan alat pemantauan jarak jauh AnyDesk dan sinkronisasi data MEGA yang sah.
Para penyerang kemudian bergerak secara lateral menggunakan Remote Desktop Protocol (RDP) dan Windows Management Instrumentation Provider Host untuk menyebarkan ransomware INC ke seluruh jaringan korban.
Meskipun Microsoft tidak menyebutkan nama korban yang terkena serangan ransomware INC yang diatur oleh Vanilla Tempest, jenis ransomware yang sama terkait terhadap serangan siber terhadap rumah sakit McLaren Health Care di Michigan bulan lalu.
Serangan tersebut mengganggu sistem TI dan telepon, menyebabkan sistem kesehatan kehilangan akses ke basis data informasi pasien, dan memaksanya menjadwalkan ulang beberapa janji temu dan prosedur non-darurat atau elektif “demi kehati-hatian yang berlebihan.”
Siapa Vanilla Tempest?
Aktif setidaknya sejak awal Juni 2021, Vanilla Tempest (sebelumnya dilacak (seperti DEV-0832 dan Vice Society) sering menargetkan berbagai sektor, termasuk pendidikan, perawatan kesehatan, TI, dan manufaktur, menggunakan berbagai jenis ransomware seperti BlackCat, Quantum Locker, Zeppelin, dan Rhysida.
Saat aktif sebagai Wakil Masyarakatpelaku ancaman tersebut diketahui menggunakan beberapa jenis ransomware selama serangan, termasuk Hello Kitty/Lima Tangan Dan Serangan virus Zeppelin.
Pos pemeriksaan terkait Vice Society dengan geng ransomware Rhysida pada bulan Agustus 2023, operasi lain yang dikenal karena menargetkan perawatan kesehatanyang mencoba untuk menjual data pasien dicuri dari Rumah Sakit Anak Lurie di Chicago.
