Microsoft ha rivelato che un actor è stato osservato mentre utilizzava per la prima volta una variante di ransomware chiamato INC per colpire il settore sanitario negli Stati Uniti
Il team di intelligence sulle minacce informatiche statunitense sta monitorando l’attività che prende il nome di Vanilla Tempest (in precedenza DEV-0832).
“Vanilla Tempest riceve aggiornamenti dalle infezioni da parte dell’autore della minaccia Storm-0494, prima di distribuire strumenti come la backdoor Supper, lo strumento legittimo di monitoraggio e gestione remota (RMM) AnyDesk e lo strumento di sincronizzazione dati MEGA”, ha affermato in una serie di post condivisi su X.
Nella fase successiva, gli aggressori eseguono spostamenti laterali tramite Remote Desktop Protocol (RDP) e poi utilizzano l’host del provider Windows Management Instrumentation (WMI) per distribuire il payload del ransomware INC.
Il produttore di Windows ha affermato che Vanilla Tempest è attivo almeno da luglio 2022 e che in precedenza ha attaccato i settori dell’istruzione, della sanità, dell’IT e della produzione utilizzando varie famiglie di ransomware, come BlackCat, Quantum Locker, Zeppelin e Rhysida.
Vale la pena notare che l’autore della minaccia è anche conosciuto con il nome di Vice Society , noto per utilizzare malware già esistenti per portare a termine i propri attacchi, anziché crearne una versione personalizzata.
Questo sviluppo avviene mentre gruppi ransomware come BianLian e Rhysida sono stati osservati a utilizzare sempre più spesso Azure Storage Explorer e AzCopy per esfiltrare dati sensibili da reti compromesse nel tentativo di eludere il rilevamento.
Questo strumento, utilizzato per gestire l’archiviazione di Azure e gli oggetti in essa contenuti, viene riutilizzato dagli autori delle minacce per trasferimenti di dati su larga scala verso l’archiviazione cloud, ha affermato il ricercatore di modePUSH Britton Manahan.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/mwlite/in/fernandoc-364ab419a
@FACEBOOK https://www.facebook.com/hackerpunk19202
@EBOOK
https://amzn.eu/d/6dcujGr
@EBOOK (English version)
https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ