Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Microsoft: Hizmet Olarak Fidye Yazılımı Grubu, Algılanmayı Önlemek İçin Kötü Amaçlı Yazılımları Değiştirmeye Devam Ediyor
Marianne Sosis McGee (SağlıkBilgi Güvenliği) •
26 Eylül 2024
“Vanilla Tempest” olarak takip edilen ve aynı zamanda Vice Society olarak da bilinen tehdit aktörleri, ABD sağlık kuruluşlarına saldırmak için kullandıkları fidye yazılımlarını değiştiriyor gibi görünüyor. Microsoft Threat Intelligence’a göre, muhtemelen tespit edilmekten kaçınmak amacıyla, hizmet olarak fidye yazılımı grubu artık INC Ransom kötü amaçlı yazılımına geçti.
Ayrıca bakınız: İşletmenizin Başarısını Artırmaya Yönelik Varsayılan Olarak Güvenli Strateji
Microsoft Tehdit İstihbaratının DEV-0832 olarak takip ettiği Vanilla Tempest, siber suç pazarına girdiği 2022’den bu yana en az beş kötü amaçlı yazılım türü daha kullandı ve şu anda Rusça konuşan INC Ransom’un kötü amaçlı yazılımını kullanıyor. Microsoft, değişikliklerin tespitten kaçınmayı ve kesinti ve “gasp amacıyla veri sızdırma” yoluyla gasp taleplerini en üst düzeye çıkarmayı amaçladığına inanıyor.
Sherrod, “Grubun BlackCat, Quantum Locker, Zeppelin ve Zeppelin fidye yazılımının Vice Society markalı bir versiyonundan Rhysida’ya ve Ağustos 2024 itibarıyla INC fidye yazılımına geçmesiyle, aktörün fidye yazılımı yükünün zaman içinde değiştiğini gözlemledik” dedi. Microsoft tehdit istihbaratı stratejisi direktörü DeGrippo, Bilgi Güvenliği Medya Grubuna yaptığı açıklamada.
Hizmet olarak fidye yazılımı grubu INC Ransom’un bağlı kuruluşları, 2023’ün ortasından bu yana çeşitli sektörlerdeki kuruluşlara saldırıyor. Vanilla Tempest bağlı kuruluşları bu mücadeleye en son katılanlar gibi görünüyor.
Ağustos ayında INC Ransom tehdit aktörleri, Michigan merkezli McLaren Health Care’e düzenlenen ve birkaç hafta boyunca yaygın BT kesintileri yaşayan ancak o zamandan beri düzelen saldırının sorumluluğunu üstlendi. Hastane grubu saldırganlar hakkında yorum yapmazken, bir McLaren çalışanı tarafından çekilen ve eski adıyla Twitter olan X’te yayınlanan bir fotoğraf, INC Ransom fidye notunu gösteriyordu (bkz: McLaren Health, Bir Yılda İkinci Kez Fidye Yazılımına Maruz Kaldı).
DeGrippo, “Fidye yazılımı, çeşitli grupların altyapı, araç, kod vb. gibi şeyler sağladığı bir ekosistemdir. Bu gruplar değiştiğinde veya dağıldığında, fidye yazılımı tedarik zinciri kesintiye uğrar ve çeşitli grupların kampanyalarında değişiklik yapmasını gerektirebilir.” dedi.
“Maalesef Vanilla Tempest’in Amerika Birleşik Devletleri’ndeki eğitim kesiminde orantısız bir etki yarattığını gördük. Bu, Temmuz 2022’den itibaren takip ettiğimiz kampanyaları da içeriyor. Başarı olasılığı yüksek saldırılar gerçekleştirme eğilimindeler. Ayrıca şunu da gördük: Bu tehdit aktörü daha az oranda ABD’deki hastaneleri ve yerel yönetimleri hedef alıyor” dedi.
Fidye yazılımı dağıtımından önce Vanilla Tempest’in, PowerShell komut dosyalarının ve yeniden tasarlanmış meşru araçların kullanımı da dahil olmak üzere diğer fidye yazılımı aktörleri tarafından yaygın olarak kullanılan taktiklere güvendiğini söyledi. Vanilla Tempest ayrıca ilk erişim ve uzlaşma sonrası ayrıcalık yükseltme için kamuya açıklanmış güvenlik açıklarına yönelik istismarlardan da yararlanıyor.
“Ayrıca SystemBC, PortStarter ve Supper gibi arka kapı kötü amaçlı yazılımlarını kullandıkları da gözlemlendi” dedi.
Microsoft Tehdit İstihbaratı, X’te 18 Eylül’de yayınlanan bir gönderide, Vanilla Tempest’in, Supper arka kapısı, meşru AnyDesk uzaktan izleme ve yönetim aracı ve MEGA verileri gibi araçları dağıtmadan önce tehdit aktörü Storm-0494 tarafından Gootloader enfeksiyonlarından aktarımlar aldığını söyledi. senkronizasyon aracı.
Microsoft, “Tehdit aktörü daha sonra Uzak Masaüstü Protokolü aracılığıyla yanal hareket gerçekleştiriyor ve INC fidye yazılımı yükünü dağıtmak için Windows Yönetim Araçları Sağlayıcı Ana Bilgisayarını kullanıyor” dedi.
DeGrippo, bir hastaneye veya başka bir kuruluşa yönelik bu saldırılara karşı savunma yapmak için siber savunucuların “fidye yazılımı olaylarına karşı dayanıklılığa odaklanması” gerektiğini söyledi.
Saldırılarda Artış
Güvenlik sağlayıcısı Sophos, Perşembe günü yayınlanan yeni bir raporda, sağlık kuruluşlarına yönelik fidye yazılımı saldırılarının, diğer birçok sektörde azalıyor gibi görünse de aslında artmaya devam ettiğini söyledi (bkz: Sophos: Sağlık Sektörü Dışında Neredeyse Tüm Sektörlerde Saldırılar Düşüyor).
Bu, diğer araştırmacıların da gördüğü bir eğilim. Güvenlik firması SonicWall’un Perşembe günü yayınladığı bir rapora göre, 2024’te şu ana kadar sağlık hizmeti ihlallerinin yaklaşık %91’i fidye yazılımlarından kaynaklanıyor.
SonicWall, bu fidye yazılımı ihlallerinin bu yıl şu ana kadar yaklaşık 14 milyon hastayı etkilediğini söyledi.
Sophos’un 15 sektördeki 5.000 BT lideriyle yaptığı araştırma, sağlık hizmetlerinin, saldırganların talep ettiği orijinal fidyeden daha fazlasını ödeme olasılığı en yüksek ikinci grup olduğunu ortaya çıkardı. Yüksek öğrenim daha fazla ödeme eğilimi en yüksek olan gruptur.
Sophos araştırmacıları, saldırıların bir parçası olarak yedekleme verileri şifrelendiğinde kuruluşların genellikle daha yüksek gasp talepleri ödemek zorunda kaldıklarını söyledi. Sophos, sağlık ve yüksek öğrenim alanındaki kuruluşların “kamuya ait yetkileri nedeniyle verileri ‘her ne pahasına olursa olsun’ kurtarmaya daha fazla ihtiyaç duyabileceğini” söyledi.