Microsoft affirme qu’une filiale de ransomware qu’il suit alors que Vanilla Tempest cible désormais les organisations de santé américaines dans des attaques de ransomware INC.

INC Ransom est une opération de ransomware en tant que service (RaaS) dont les affiliés ciblent des organisations publiques et privées depuis juillet 2023, notamment Yamaha Motor Philippines, la division américaine de Xerox Business Solutions(XBS) et, plus récemment, le National Health Service (NHS) d’Écosse.

En mai 2024, un acteur de la menace appelé « salfetka » a prétendu vendre le code source des versions de cryptage Windows et Linux/ESXi d’INC Ransom pour 300 000 $sur les forums d’Exploit et de piratage XSS.

Microsoft a révélé mercredi que ses analystes des menaces avaient observé l’acteur de la menace Vanilla Tempest motivé financièrement en utilisant INC ransomware pour la première fois dans une attaque contre le secteur américain de la santé.

Au cours de l’attaque, Vanilla Tempest a obtenu un accès au réseau via l’acteur de la menace Storm-0494, qui a infecté les systèmes de la victime avec le téléchargeur de logiciels malveillants Gootloader.

Une fois à l’intérieur, les attaquants ont backdooré les systèmes avec des logiciels malveillants Supper et ont déployé les outils légitimes de surveillance à distance et de synchronisation de méga données AnyDesk.

Les attaquants se sont ensuite déplacés latéralement à l’aide du protocole RDP (Remote Desktop Protocol) et de l’hôte du fournisseur d’instrumentation de gestion Windows pour déployer le ransomware INC sur le réseau de la victime.

Bien que Microsoft n’ait pas nommé la victime touchée par l’attaque sanitaire du ransomware INC orchestrée par Vanilla Tempest, la même souche de ransomware a été liée à une cyberattaque contre les hôpitaux McLaren Health Care du Michigan le mois dernier.

L’attaque a perturbé les systèmes informatiques et téléphoniques, a fait perdre au système de santé l’accès aux bases de données d’informations sur les patients et l’a forcé à reprogrammer certains rendez-vous et procédures non urgentes ou électives « par excès de prudence. »

Qui est Vanilla Tempest?
Actif depuis au moins début juin 2021, Vanilla Tempest (anciennement DEV-0832 et Vice Society) a fréquemment ciblé des secteurs, notamment l’éducation, la santé, l’informatique et la fabrication, en utilisant diverses souches de ransomware telles que BlackCat, Quantum Locker, Zeppelin et Rhysida.

Alors qu’il était actif en tant que Vice Society, l’acteur de la menace était connu pour utiliser plusieurs souches de ransomware lors d’attaques, notamment Hello Kitty/Five Hands et Zeppelin ransomware.

CheckPoint a lié Vice Society au gang de rançongiciels Rhysida en août 2023, une autre opération connue pour cibler les soins de santé, qui tentait de vendre les données des patients volées à l’Hôpital pour enfants Lurie de Chicago.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *