Vanilla Tempest, yakın zamanda yeni bir fidye yazılımı türü kullanarak ABD’deki sağlık kuruluşlarını hedef alan bir fidye yazılımı grubudur.
Bu grup en az Haziran 2021’den beri aktif ve eğitim ve BT gibi birçok sektörde çeşitli siber saldırılarla bağlantılı.
Microsoft Tehdit İstihbaratı ekibindeki siber güvenlik araştırmacıları, yakın zamanda sağlık sektörüne aktif olarak saldırılarda bulunduğu tespit edilen Vanilla Tempest adlı bilgisayar korsanı grubuna karşı uyarıda bulundu.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz katılın
Vanilya Tempest Hacker’ları
Microsoft, Vanilla Tempest’in finansal amaçlı bir siber suç grubu olduğunu ve ABD’deki sağlık kuruluşlarını hedef almak için “INC” adı verilen yeni bir fidye yazılımı türünü kullandığını tespit etti.
Bu, Vanilla Tempest’in “INC fidye yazılımı” kullandığının gözlemlendiği ilk örnektir.
Saldırı zincirinin tamamı, kurbanların sistemlerine ilk erişimi elde etmek için “Gootloader” adlı kötü amaçlı yazılımı kullanan “Storm-0494” adlı başka bir tehdit aktörünün saldırısıyla başlıyor.
Gootloader, genellikle tehlikeye atılmış web siteleri aracılığıyla yayılan karmaşık bir kötü amaçlı yazılım yükleyicisidir. Storm-0494 bu dayanağı kurduğunda kontrolü Vanilla Tempest’e devreder.
Vanilla Tempest grubu daha sonra saldırılarını daha da ileriye taşımak için bir dizi araç kullanır ve aşağıda bu araçlardan bahsettik:
- Supper arka kapısı (yetkisiz uzaktan erişime izin veren kötü amaçlı bir program)
- AnyDesk (kötü amaçlı kullanım için yeniden tasarlanmış meşru bir uzak masaüstü uygulaması)
- MEGA (burada çalınan verileri dışarı sızdırmak için kullanılan bir bulut depolama hizmeti)
Bu çok aşamalı saldırı zinciri, kritik sektörleri hedef alan modern siber suç operasyonlarının karmaşık ve işbirlikçi doğasını ortaya koyuyor.
Tehdit aktörlerinin saldırı stratejisi “RDP” yoluyla yanal hareketi içeriyor.
Daha sonra “INC” fidye yazılımı yükünü dağıtmak için Windows’un temel bir hizmeti olan “Windows Yönetim Hizmeti Sağlayıcısı Ana Bilgisayarı”nı kullanırlar. Bu fidye yazılımı, kurbanların dosyalarını şifreler ve şifre çözme için ödeme talep eder.
Vanilla Tempest’in cephaneliği INC ile sınırlı değil, şu gibi diğer kötü şöhretli fidye yazılımı çeşitleriyle de ilişkilendirilmiştir:
- Kara kedi
- Kuantum Dolabı
- Zeplin
- Rhysida
Bu yüklerin her birinin kendine özgü şifreleme yöntemleri ve fidye talepleri var.
Ancak Microsoft Defender for Endpoint, Vanilla Tempest’in faaliyetlerinin çeşitli aşamalarını tespit etme yeteneğine sahiptir.
Bu, başlangıçtaki ağ ihlalini, yanal hareket girişimlerini ve fidye yazılımının dağıtımını tespit etmeyi içerir ve bu kalıcı tehdit aktörüne karşı çok katmanlı bir savunma sağlar.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial