Microsoft, finansal amaçlı bir tehdit aktörünün, ABD’de sağlık sektörünü hedef almak için ilk kez INC adlı bir fidye yazılımı türünü kullandığının gözlemlendiğini açıkladı
Teknoloji devinin tehdit istihbarat ekibi, bu faaliyeti şu ad altında takip ediyor: Vanilya Fırtınası (eski adıyla DEV-0832).
Şirket, X’te paylaştığı bir dizi gönderide, “Vanilla Tempest, Supper arka kapısı, meşru AnyDesk uzaktan izleme ve yönetim (RMM) aracı ve MEGA veri senkronizasyon aracı gibi araçları devreye sokmadan önce, tehdit aktörü Storm-0494 tarafından GootLoader enfeksiyonlarından devralmalar alıyor” ifadelerini kullandı.
Bir sonraki adımda saldırganlar, Uzak Masaüstü Protokolü (RDP) aracılığıyla yatay hareket gerçekleştirmeye devam ediyor ve ardından INC fidye yazılımı yükünü dağıtmak için Windows Yönetim Araçları (WMI) Sağlayıcı Ana Bilgisayarını kullanıyor.
Windows üreticisi, Vanilla Tempest’in en az Temmuz 2022’den beri aktif olduğunu, daha önce BlackCat, Quantum Locker, Zeppelin ve Rhysida gibi çeşitli fidye yazılımı ailelerini kullanarak eğitim, sağlık, BT ve üretim sektörlerini hedef alan saldırılar düzenlediğini söyledi.
Tehdit aktörünün, saldırılarını gerçekleştirmek için kendi özel sürümlerini oluşturmak yerine, halihazırda var olan dolapları kullanmasıyla bilinen Vice Society ismiyle de takip edildiğini belirtmekte fayda var.
Bu gelişme, BianLian ve Rhysida gibi fidye yazılımı gruplarının, tespit edilmekten kaçınmak amacıyla hassas verileri tehlikeye atılmış ağlardan sızdırmak için Azure Storage Explorer ve AzCopy’yi giderek daha fazla kullandığının gözlemlenmesinin ardından geldi.
modePUSH araştırmacısı Britton Manahan, “Azure depolama ve içindeki nesneleri yönetmek için kullanılan bu araç, tehdit aktörleri tarafından bulut depolamaya büyük ölçekli veri aktarımları için yeniden kullanılıyor” dedi.