​Microsoft zegt dat een ransomware-filiaal dat het volgt als Vanilla Tempest nu Amerikaanse gezondheidsorganisaties doelwit maakt in INC ransomware-aanvallen.

INC Ransom is een ransomware-as-a-service (RaaS) operatie waarvan de filialen sinds juli 2023 openbare en private organisaties hebben aangevallen, waaronder Yamaha Motor Philippines, de Amerikaanse divisie van Xerox Business Solutions(XBS) en, recenter, de National Health Service (NHS) van Schotland.

In mei 2024 beweerde een dreigingsactor genaamd “salfetka” de broncode van de Windows- en Linux/ESXi-versies van INC Ransom’s encryptie software te verkopen voor $300.000 op de Exploit en XSS hackingforums.

Microsoft onthulde woensdag dat zijn dreigingsanalisten hebben waargenomen dat de financieel gemotiveerde dreigingsactor Vanilla Tempest INC ransomware voor het eerst gebruikt in een aanval op de Amerikaanse gezondheidssector.

Tijdens de aanval verkreeg Vanilla Tempest netwerktoegang via de Storm-0494 dreigingsactor, die de systemen van het slachtoffer besmette met de Gootloader malware downloader.

Eenmaal binnen achterdeurbekrachtigden de aanvallers de systemen met Supper malware en implementeerden ze de legitieme AnyDesk remote monitoring en MEGA data synchronisatie tools.

De aanvallers verplaatsten zich vervolgens zijwaarts via Remote Desktop Protocol (RDP) en de Windows Management Instrumentation Provider Host om INC ransomware op het netwerk van het slachtoffer uit te rollen.

Hoewel Microsoft de naam van het slachtoffer van de door Vanilla Tempest-georkestreerde INC ransomware gezondheidsaanval niet bekendmaakte, werd dezelfde ransomware gekoppeld aan een cyberaanval vorige maand op de McLaren Health Care ziekenhuizen van Michigan.

De aanval verstoorde IT- en telefoonsystemen, zorgde ervoor dat het gezondheidssysteem de toegang tot patiëntinformatiedatabases verloor en dwong het om enkele afspraken en niet-spoedeisende of electieve procedures “uit voorzorg” te verplaatsen.

Wie is Vanilla Tempest?

Actief sinds ten minste begin juni 2021, richt Vanilla Tempest (voorheen gevolgd als DEV-0832 en Vice Society) zich vaak op sectoren zoals onderwijs, gezondheidszorg, IT en productie, met behulp van verschillende ransomware-varianten zoals BlackCat, Quantum Locker, Zeppelin en Rhysida.

Toen ze actief waren als Vice Society, stond de dreigingsactor bekend om het gebruik van meerdere ransomware-varianten tijdens aanvallen, waaronder Hello Kitty/Five Hands en Zeppelin ransomware.

CheckPoint koppelde Vice Society in augustus 2023 aan de Rhysida ransomware-bende, een andere operatie die bekend staat om het targeten van de gezondheidszorg, die probeerde patiëntgegevens gestolen van het Lurie Children’s Hospital in Chicago te verkopen.