![微软:Vanilla Tempest 黑客利用 INC 勒索软件攻击医疗保健行业]( "微软:Vanilla Tempest 黑客利用 INC 勒索软件攻击医疗保健行业")
微软表示,其追踪的 Vanilla Tempest 勒索软件关联公司目前正针对美国医疗保健组织发起 INC 勒索软件攻击。
INC Ransom 是一种勒索软件即服务 (RaaS) 行动,其附属机构自 2023 年 7 月以来一直以公共和私人组织为目标,包括雅马哈摩托车菲律宾公司、施乐商业解决方案(XBS)的美国分部,以及最近的苏格兰国家医疗服务体系(NHS)。
2024 年 5 月,一个名为“salfetka”的威胁行为者声称在 Exploit 和 XSS 黑客论坛上以 30 万美元的价格出售 INC Ransom 的 Windows 和 Linux/ESXi 加密器版本的源代码。
微软周三透露,其威胁分析师首次观察到以经济为目的的 Vanilla Tempest 威胁行为者使用 INC 勒索软件对美国医疗保健行业发起攻击。
在攻击期间,Vanilla Tempest 通过 Storm-0494 威胁行为者获得网络访问权限,并使用 Gootloader 恶意软件下载程序感染受害者的系统。
进入系统后,攻击者利用 Supper 恶意软件在系统上安装后门,并部署合法的 AnyDesk 远程监控和 MEGA 数据同步工具。
然后,攻击者使用远程桌面协议 (RDP) 和 Windows 管理规范提供程序主机横向移动,在受害者的网络上部署 INC 勒索软件。
虽然微软没有公布 Vanilla Tempest 策划的 INC 勒索软件医疗保健攻击的受害者姓名,但同样的勒索软件与上个月针对密歇根州麦克拉伦医疗保健医院的网络攻击有关。
此次攻击破坏了 IT 和电话系统,导致医疗系统无法访问患者信息数据库,并迫使其“出于谨慎考虑”重新安排一些预约和非紧急或选择性程序。
Vanilla Tempest(之前被追踪为 DEV-0832 和 Vice Society)至少自 2021 年 6 月初开始活跃,经常使用各种勒索软件(例如 BlackCat、Quantum Locker、Zeppelin 和 Rhysida)攻击教育、医疗保健、IT 和制造业等行业。
在以Vice Society 的身份活跃期间,该威胁行为者因在攻击期间使用多种勒索软件而闻名,包括Hello Kitty/Five Hands和Zeppelin 勒索软件。
2023 年 8 月, CheckPoint将Vice Society 与 Rhysida 勒索软件团伙联系起来,后者是另一个以医疗保健领域闻名的行动,试图出售从芝加哥 Lurie 儿童医院窃取的患者数据。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):微软:Vanilla Tempest 黑客利用 INC 勒索软件攻击医疗保健行业
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3233143.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论