Microsoft сообщает, что хакерская группа Vanilla Tempest начала атаковать организации здравоохранения в США с использованием программы-вымогателя INC Ransom.
INC Ransom действует в рамках модели “вымогательское ПО как услуга” (Ransomware-as-a-Service, RaaS), и партнеры группы атакуют как государственные, так и частные компании с июля 2023 года. Среди известных жертв – Yamaha Motor Philippines, американское подразделение Xerox Business Solutions, а также Национальная служба здравоохранения Шотландии (NHS).
В мае 2024 года злоумышленник под псевдонимом “salfetka” предложил на хакерских форумах Exploit и XSS исходный код программы-вымогателя для операционных систем Windows и Linux/ESXi за $300 000.
Аналитики Microsoft впервые зафиксировали, как Vanilla Tempest использовала INC Ransom для атаки на сектор здравоохранения США. Во время атаки Vanilla Tempest получила доступ к сети через группу Storm-0494, которая заразила системы жертвы загрузчиком вредоносного ПО Gootloader. Оказавшись внутри, хакеры внедрили бэкдор Supper и развернули легитимные инструменты удаленного мониторинга AnyDesk и синхронизации данных MEGA. Далее киберпреступники распространили программу-вымогатель по сети с помощью протокола RDP (Remote Desktop Protocol) и инструментов управления Windows Management Instrumentation Provider Host.
Хотя Microsoft не назвала пострадавшую организацию, известно, что аналогичная версия программы-вымогателя была применена в кибератаке на больницы McLaren Health Care в штате Мичиган в августе. Тогда кибератака привела к сбоям в работе IT-систем и телефонных линий, а также к утрате доступа к базам данных с информацией о пациентах. Из-за этого медицинское учреждение было вынуждено перенести ряд запланированных приемов и процедур.
Vanilla Tempest активна с июня 2021 года. Ранее она была известна под именами DEV-0832 и Vice Society. Группа часто атакует такие сектора, как образование, здравоохранение, IT и промышленность, используя различные программы-вымогатели, включая BlackCat, Quantum Locker, Zeppelin и Rhysida. В прошлом году исследователи из CheckPoint связали Vice Society с бандой Rhysida, которая также специализируется на атаках на медицинские учреждения.