Scopri i nostri percorsi di Hacking e approfitta dell'imperdibile promozione! Scopri di più
Microsoft ha recentemente lanciato un allarme riguardo a una nuova minaccia informatica denominata INC ransomware, che ha iniziato a prendere di mira il settore sanitario negli Stati Uniti. Il team di intelligence di Microsoft ha identificato l'attività sotto il nome di Vanilla Tempest, precedentemente noto come DEV-0832. Questo gruppo di minaccia è stato osservato utilizzare il ransomware INC per la prima volta in attacchi mirati contro il settore sanitario.
L'attacco inizia con infezioni da GootLoader, un malware utilizzato per distribuire ulteriori strumenti malevoli. Vanilla Tempest riceve i passaggi da GootLoader prima di implementare strumenti come il backdoor Supper, il legittimo strumento di monitoraggio remoto AnyDesk e lo strumento di sincronizzazione dati MEGA. Successivamente, gli attaccanti procedono con il movimento laterale attraverso il Remote Desktop Protocol (RDP) e utilizzano il Windows Management Instrumentation (WMI) Provider Host per distribuire il payload di INC ransomware.
Vanilla Tempest è attivo almeno dal luglio 2022, con attacchi precedenti che hanno colpito settori come l'educazione, la sanità, l'IT e la produzione utilizzando famiglie di ransomware come BlackCat, Quantum Locker, Zeppelin e Rhysida. Questo gruppo di minaccia è anche noto sotto il nome di Vice Society, noto per utilizzare locker esistenti piuttosto che sviluppare versioni personalizzate.
Di recente, si è osservato che gruppi di ransomware come BianLian e Rhysida utilizzano sempre più strumenti come Azure Storage Explorer e AzCopy per esfiltrare dati sensibili dalle reti compromesse, cercando di evitare la rilevazione. Questi strumenti, utilizzati per gestire l'archiviazione di Azure e gli oggetti al suo interno, vengono riproposti dai malintenzionati per trasferimenti di dati su larga scala verso l'archiviazione cloud.
L'uso di tali strumenti mostra un'evoluzione nelle tattiche dei cybercriminali, che cercano metodi sempre più sofisticati per rubare dati senza essere scoperti. Microsoft continua a monitorare queste minacce e a fornire aggiornamenti per proteggere le organizzazioni da questi attacchi sempre più complessi e mirati.
