كشف تهديد جديد: برنامج الفدية INC يستهدف القطاع الصحي في الولايات المتحدة
تتلقى Vanilla Tempest عمليات تسليم من إصابات GootLoader من قبل جهة التهديد Storm-0494، قبل نشر أدوات مثل Supper backdoor، وأداة AnyDesk الشرعية للمراقبة والإدارة عن بعد (RMM)، وأداة MEGA لمزامنة البيانات." قال في سلسلة من المشاركات التي تمت مشاركتها على X.
تتلقى Vanilla Tempest عمليات تسليم من إصابات GootLoader من قبل جهة التهديد Storm-0494، قبل نشر أدوات مثل Supper backdoor، وأداة AnyDesk الشرعية للمراقبة والإدارة عن بعد (RMM)، وأداة MEGA لمزامنة البيانات.” قال في سلسلة من المشاركات التي تمت مشاركتها على X.
القطاع الصحي..كشفت شركة مايكروسوفت أنه تم رصد جهة تهديد ذات دوافع مالية تستخدم سلالة من برامج الفدية تسمى INC لأول مرة لاستهداف قطاع الرعاية الصحية في الولايات المتحدة.
يقوم فريق استخبارات التهديدات التابع لشركة التكنولوجيا العملاقة بتتبع النشاط تحت الاسم فانيليا تيمبيست (سابقًا DEV-0832).
“تتلقى Vanilla Tempest عمليات تسليم من إصابات GootLoader من قبل جهة التهديد Storm-0494، قبل نشر أدوات مثل Supper backdoor، وأداة AnyDesk الشرعية للمراقبة والإدارة عن بعد (RMM)، وأداة MEGA لمزامنة البيانات.” قال في سلسلة من المشاركات التي تمت مشاركتها على X.
في الخطوة التالية، يتابع المهاجمون تنفيذ الحركة الجانبية من خلال بروتوكول سطح المكتب البعيد (RDP) ثم يستخدمون مضيف موفر Windows Management Instrumentation (WMI) لنشر حمولة برنامج الفدية INC.
وقالت الشركة المصنعة لنظام Windows إن Vanilla Tempest كانت نشطة منذ يوليو 2022 على الأقل، حيث استهدفت الهجمات السابقة قطاعات التعليم والرعاية الصحية وتكنولوجيا المعلومات والتصنيع باستخدام عائلات مختلفة من برامج الفدية مثل BlackCat وQuantum Locker وZeppelin وRhysida.
تجدر الإشارة إلى أنه يتم تعقب جهة التهديد أيضًا تحت اسم Vice Society، المعروف باستخدام الخزائن الموجودة بالفعل لتنفيذ هجماته، بدلاً من إنشاء نسخة مخصصة خاصة به.
ويأتي هذا التطوير في الوقت الذي لوحظ فيه بشكل متزايد أن مجموعات برامج الفدية مثل BianLian وRhysida تستخدم Azure Storage Explorer وAzCopy لتصفية البيانات الحساسة من الشبكات المخترقة في محاولة لتجنب الكشف.
“هذه الأداة، المستخدمة لإدارة تخزين Azure والكائنات الموجودة بداخلها، يتم إعادة توظيفها من قبل جهات التهديد لنقل البيانات على نطاق واسع إلى التخزين السحابي،” الباحث في modePUSH بريتون ماناهان قال.