Microsoft ha revelado que se ha observado que un actor de amenazas con motivación financiera utiliza por primera vez una cepa de ransomware llamada INC para apuntar a la industria de la salud en los Estados Unidos.
El equipo de inteligencia de amenazas del gigante tecnológico rastrea la actividad bajo el nombre Tormenta de vainilla (anteriormente DEV-0832).
“Vanilla Tempest recibe transmisiones de infección GootLoader del actor de amenazas Storm-0494, antes de implementar herramientas como la puerta trasera Supper, la herramienta legítima de administración y monitoreo remoto (RMM) AnyDesk y el sistema de sincronización de datos MEGA”, dijo. dicho en una serie de publicaciones compartidas en X.
En el siguiente paso, los atacantes realizan un movimiento lateral a través del Protocolo de escritorio remoto (RDP) y luego utilizan el host del proveedor del Instrumental de administración de Windows (WMI) para implementar la carga útil del ransomware INC.
El fabricante de Windows dijo que Vanilla Tempest ha estado activo desde al menos julio de 2022, con ataques anteriores dirigidos a los sectores de educación, atención médica, TI y fabricación utilizando varias familias de ransomware como BlackCat, Quantum Locker, Zeppelin y Rhysida.
Cabe señalar que el actor de amenazas también está siendo rastreado con el nombre de Vice Society, conocido por utilizar casilleros ya existentes para llevar a cabo sus ataques, en lugar de crear su propia versión personalizada.
Este desarrollo se produce cuando se ha observado que grupos de ransomware como BianLian y Rhysida utilizan cada vez más Azure Storage Explorer y AzCopy para filtrar datos confidenciales de redes comprometidas en un intento de evadir la detección.
“Esta herramienta, utilizada para gestionar el almacenamiento de Azure y los objetos que contiene, es reutilizada por actores maliciosos para transferencias de datos a gran escala al almacenamiento en la nube”, explica Britton Manahan, investigador de modePUSH. dicho.