Microsoft, Vanilla Tempest adıyla takip ettiği bir fidye yazılımı iştirakinin, INC fidye yazılımı saldırılarıyla ABD’deki sağlık kuruluşlarını hedef aldığını söylüyor.
INC Ransom, Temmuz 2023’ten bu yana Yamaha Motor Philippines, Xerox Business Solutions’ın (XBS) ABD bölümü ve daha yakın zamanda İskoçya Ulusal Sağlık Hizmeti (NHS) dahil olmak üzere kamu ve özel kuruluşları hedef alan bağlı kuruluşları olan bir fidye yazılımı hizmeti (RaaS) operasyonudur.
Mayıs 2024’te “salfetka” adlı bir tehdit aktörü, Exploit ve XSS hackleme forumlarında INC Ransom’un Windows ve Linux/ESXi şifreleyici sürümlerinin kaynak kodlarını 300.000 dolara sattığını iddia etti.
Microsoft, Çarşamba günü yaptığı açıklamada, tehdit analistlerinin finansal amaçlı Vanilla Tempest tehdit grubunun ABD sağlık sektörüne yönelik bir saldırıda ilk kez INC fidye yazılımını kullandığını gözlemlediğini açıkladı.
Saldırı sırasında Vanilla Tempest, kurbanın sistemlerini Gootloader kötü amaçlı yazılım indiricisiyle enfekte eden Storm-0494 tehdit aktörü aracılığıyla ağa erişim sağladı.
Saldırganlar sisteme girdikten sonra Supper adlı kötü amaçlı yazılımı kullanarak sistemlerin arka kapısını açtılar ve meşru AnyDesk uzaktan izleme ve MEGA veri senkronizasyon araçlarını devreye soktular.
Saldırganlar daha sonra Uzak Masaüstü Protokolü’nü (RDP) ve Windows Yönetim Araçları Sağlayıcı Ana Bilgisayarını kullanarak yatay olarak hareket ederek INC fidye yazılımını kurbanın ağında dağıttı.
Microsoft, Vanilla Tempest tarafından düzenlenen INC fidye yazılımı sağlık saldırısının kurbanının adını açıklamazken, aynı fidye yazılımı türü, geçen ay Michigan’daki McLaren Health Care hastanelerine yönelik bir siber saldırıyla ilişkilendirilmişti.
Saldırı, BT ve telefon sistemlerini aksattı, sağlık sisteminin hasta bilgi veri tabanlarına erişimini kaybetmesine neden oldu ve “aşırı tedbir” nedeniyle bazı randevuların ve acil olmayan veya elektif prosedürlerin yeniden planlanmasına neden oldu.
Vanilla Tempest kimdir?
En azından Haziran 2021’in başından beri aktif olan Vanilla Tempest (daha önce DEV-0832 ve Vice Society adlarıyla takip ediliyordu), BlackCat, Quantum Locker, Zeppelin ve Rhysida gibi çeşitli fidye yazılımı türlerini kullanarak eğitim, sağlık, BT ve üretim gibi sektörleri sıklıkla hedef aldı.
Vice Society olarak faaliyet gösterdiği dönemde tehdit unsurunun saldırılar sırasında Hello Kitty/Five Hands ve Zeppelin fidye yazılımları da dahil olmak üzere birden fazla fidye yazılımı türünü kullandığı biliniyordu.
CheckPoint, Ağustos 2023’te Vice Society’yi, Chicago’daki Lurie Çocuk Hastanesi’nden çalınan hasta verilerini satmaya çalışan ve sağlık hizmetlerini hedef alan bir başka operasyon olan Rhysida fidye yazılımı çetesiyle ilişkilendirdi.