Microsoft, finansal amaçlı tehdit aktörü Vanilla Tempest’in kullandığı yeni bir saldırı vektörünü tespit etti.
Bu aktörün, ABD’deki sağlık kuruluşlarını hedef almak için INC fidye yazılımını kullandığı gözlemlendi.
Vanilla Tempest, özellikle sağlık sistemlerindeki güvenlik açıklarını kullanarak INC fidye yazılımını dağıtıyor.
Hassas verileri şifreleyen ve şifre çözme işlemi için fidye talep eden bu kötü amaçlı yazılım, sağlık hizmetlerinin sürekliliği ve hasta mahremiyeti açısından önemli bir tehdit oluşturuyor.
Daha önce DEV-0832 ve Vice Society olarak bilinen Vanilla Tempest adlı fidye yazılımı grubu, en azından 2021’in başından beri faaliyet gösteriyor ve BlackCat, Quantum Locker, Zeppelin ve Rhysida gibi birden fazla fidye yazılımı türünü kullanarak eğitim, sağlık, BT ve üretim dahil olmak üzere çeşitli sektörleri hedef alıyor.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
Vice Society olarak Hello Kitty/Five Hands ve Zeppelin fidye yazılımlarını kullanmalarıyla tanınıyorlardı.
CheckPoint, Ağustos 2023’te Vice Society’yi, Chicago’daki Lurie Çocuk Hastanesi’nden çalınan hasta verilerini satmak için sağlık hizmetlerini hedef alan Rhysida fidye yazılımı çetesiyle ilişkilendirdi.
Fidye yazılımı iştiraki olan Vanilla Tempest’in, INC Fidye Yazılımı saldırılarıyla ABD’deki sağlık kuruluşlarını hedef aldığını tespit ettiler.
Bu saldırılar Temmuz 2023’ten bu yana devam ediyor ve Yamaha Motor Philippines, Xerox Business Solutions ve NHS de dahil olmak üzere çeşitli kuruluşları tehlikeye attı.
Mayıs 2024’te bir tehdit aktörü, INC Ransom’un Windows ve Linux/ESXi şifreleme sürümlerinin kaynak kodlarını bir bilgisayar korsanlığı forumunda satmaya çalıştı; bu, fidye yazılımının daha da yayılma ve özelleştirilme potansiyeline işaret ediyor.
Microsoft, finansal amaçlı bir tehdit aktörü olan Vanilla Tempest’in, ABD sağlık sektörüne saldırmak için INC fidye yazılımını kullandığını bildirdi.
Saldırganlar, kurbanın sistemlerine Gootloader bulaştıran Storm-0494 aracılığıyla erişim sağladı.
İçeri girdiklerinde, sistemlerin arka kapılarını Supper zararlı yazılımıyla açtılar ve meşru araçlar olan AnyDesk ve MEGA’yı devreye soktular.
Bu durum, siber tehditlerin giderek daha karmaşık hale geldiğini ve sağlık sektöründe güçlü güvenlik önlemlerine ihtiyaç duyulduğunu ortaya koyuyor.
Saldırganlar, INC fidye yazılımını kurbanın ağına yaymak için RDP ve WMI araçlarını kullandı.
Fidye yazılımı, BT ve telefon sistemlerini aksattı, hasta bilgi veri tabanlarını tehlikeye attı ve sağlık sisteminin randevu ve prosedürleri yeniden planlamasını zorunlu kıldı; bu durum, yakın zamanda Michigan’daki McLaren Health Care hastanelerine karşı gerçekleştirilen ve INC fidye yazılımı türünü kullanan siber saldırıya benzer.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free