Microsoftによると、Vanilla Tempestとして追跡しているランサムウェアの関連会社が、現在INCランサムウェア攻撃で米国の医療機関を標的にしているという。
INC Ransomはランサムウェア・アズ・ア・サービス(RaaS)であり、その関連会社は2023年7月以降、ヤマハ・モーター・フィリピン、ゼロックス・ビジネス・ソリューションズ(XBS)の米国部門、そして最近ではスコットランドの国民保健サービス(NHS)など、公共および民間の組織を標的にしている。
2024年5月、”salfetka “と呼ばれる脅威行為者は、エクスプロイトおよびXSSハッキング・フォーラムにおいて、INC RansomのWindowsおよびLinux/ESXi暗号化バージョンのソースコードを30万ドルで販売すると主張した。
Microsoftは2日、同社の脅威アナリストが、金銭的な動機に基づくVanilla Tempest脅威アクターが、米国の医療セクターに対する攻撃で初めてINCランサムウェアを使用したことを確認したことを明らかにした。
この攻撃で、Vanilla TempestはStorm-0494脅威アクターを通じてネットワークにアクセスし、被害者のシステムをGootloaderマルウェア・ダウンローダーに感染させました。
内部に侵入すると、攻撃者はSupperマルウェアでシステムをバックドアし、正規のAnyDeskリモート・モニタリング・ツールとMEGAデータ同期ツールを展開しました。
攻撃者はその後、リモート・デスクトップ・プロトコル(RDP)とWindows Management Instrumentation Provider Hostを使用して横方向に移動し、被害者のネットワーク全体にINCランサムウェアを展開した。
マイクロソフトは、Vanilla Tempestが組織したINCランサムウェアによるヘルスケア攻撃の被害者の名前は挙げていないが、同じランサムウェアの系統が先月ミシガン州のMcLaren Health Care病院に対するサイバー攻撃に関連していた。
この攻撃はITと電話システムを混乱させ、医療システムは患者情報データベースへのアクセスを失い、”慎重を期して “一部の予約や緊急でない、あるいは選択的な処置の日程変更を余儀なくされた。
バニラ・テンペストとは何者か?
少なくとも2021年6月初旬から活動しているVanilla Tempest(以前はDEV-0832およびVice Societyとして追跡されていた)は、BlackCat、Quantum Locker、Zeppelin、Rhysidaなどのさまざまなランサムウェアの株を使用して、教育、医療、IT、製造などのセクターを頻繁に標的にしています。
Vice Societyとして活動していた頃、この脅威当事者は、Hello Kitty/Five Handsや Zeppelinランサムウェアなど、攻撃時に複数のランサムウェア株を使用していたことで知られています。
チェックポイントは、Vice Societyを2023年8月に発生したRhysidaランサムウェア集団と関連付けました。Rhysidaランサムウェア集団は、シカゴのLurie Children’s Hospitalから盗まれた患者データを販売しようとした、医療を標的としたもう1つの活動として知られています。
Comments