Microsoft zegt dat een ransomware-affiliate die het volgt als Vanilla Tempest nu Amerikaanse zorgorganisaties doelwit maakt in INC-ransomwareaanvallen.

INC Ransom is een ransomware-as-a-service (RaaS)-operatie waarvan de affiliates sinds juli 2023 publieke en private organisaties hebben aangevallen, waaronder Yamaha Motor Philippines, de Amerikaanse divisie van Xerox Business Solutions (XBS), en meer recentelijk de Nationale Gezondheidsdienst (NHS) van Schotland.

In mei 2024 beweerde een dreigingsacteur genaamd “salfetka” de broncode van INC Ransom’s Windows- en Linux/ESXi-aanvaller versies te verkopen voor $300.000 op de Exploit en XSS-hackerforums.

Microsoft onthulde op woensdag dat zijn dreigingsanalisten hadden waargenomen dat de financieel gemotiveerde dreigingsacteur Vanilla Tempest voor het eerst INC-ransomware gebruikte in een aanval op de Amerikaanse zorgsector.

Tijdens de aanval kreeg Vanilla Tempest netwerktoegang via de dreigingsacteur Storm-0494, die de systemen van het slachtoffer infecteerde met de Gootloader-malware downloader.

Eenmaal binnen voorzagen de aanvallers de systemen van backdoors met Supper-malware en implementeerden ze de legitieme AnyDesk remote monitoring en MEGA datasynchronisatietools.

De aanvallers bewogen zich vervolgens lateraal met behulp van Remote Desktop Protocol (RDP) en de Windows Management Instrumentation Provider Host om INC ransomware in te zetten op het netwerk van het slachtoffer.

Hoewel Microsoft de naam van het slachtoffer van de door Vanilla Tempest georganiseerde INC-ransomwareaanval op de gezondheidszorg niet bekendmaakte, werd dezelfde ransomware gekoppeld aan een cyberaanval op de McLaren Health Care-ziekenhuizen in Michigan afgelopen maand.

De aanval verstoorde IT- en telefoonsystemen, zorgde ervoor dat het gezondheidssysteem de toegang tot patiëntinformatiedatabases verloor en dwong het om enkele afspraken en niet-spoedeisende of elektieve procedures “uit een overvloed aan voorzichtigheid” te herschikken.

Wie is Vanilla Tempest?

Actief sinds minstens begin juni 2021, heeft Vanilla Tempest (voorheen gevolgd als DEV-0832 en Vice Society) vaak sectoren aangevallen, waaronder onderwijs, gezondheidszorg, IT en productie, met behulp van verschillende ransomware-strains zoals BlackCat, Quantum Locker, Zeppelin en Rhysida.

Toen het actief was als Vice Society, stond de dreigingsacteur bekend om het gebruik van meerdere ransomware-strains tijdens aanvallen, waaronder Hello Kitty/Five Hands en Zeppelin-ransomware.

CheckPoint koppelde Vice Society in augustus 2023 aan de Rhysida-ransomwarebende, een andere operatie die bekend stond om het aanvallen van de gezondheidszorg, die probeerde patiëntgegevens te verkopen die waren gestolen van het Lurie Kinderziekenhuis in Chicago.