Известная группа вымогателей Vanilla Tempest, также называемая Vice Society, впервые задействовала вариант вируса-вымогателя INC для атаки на американский сектор здравоохранения.
Обнаружение кибератаки
По данным специалистов по кибербезопасности из компании Microsoft, которые опубликовали результаты своих исследований в социальной сети X, Vanilla Tempest сначала использует полученные от Gootloader инфекции Storm-0494, а затем разворачивает различное вредоносное программное обеспечение и ПО, включая Supper, AnyDesk и MEGA.
Методы и инструменты
Группа применяет протокол удаленного рабочего стола (RDP) для горизонтального перемещения по сети и Windows Management Instrumentation Provider Host для внедрения вируса-вымогателя INC.
К сожалению, Microsoft не раскрыла, какие именно организации были атакованы Vanilla Tempest и насколько успешными были эти атаки. Атаки вымогателей на медицинские учреждения обычно приводят к утечкам конфиденциальных медицинских данных и значительным выплатам выкупа.
Деятельность Vanilla Tempest
Vanilla Tempest, известная как Vice Society, действует с середины 2022 года. Она преимущественно атакует образовательный, медицинский, ИТ-секторы и производственные компании. Группа известна частыми сменами шифраторов, включая BlackCat, Quantum Locker, Zeppelin и Rhysida, в то время как другие группы обычно используют один или два шифратора.
В октябре 2022 года Microsoft предупреждала о том, что Vanilla Tempest часто меняет вредоносные полезные нагрузки при атаках на школы в США. В некоторых случаях группа просто крадет данные, минуя этап шифрования.
Известные жертвы
Некоторые известные жертвы Vanilla Tempest включают шведскую мебельную компанию IKEA и школьный округ Лос-Анджелеса (LAUSD). В ноябре 2022 года магазины IKEA в Марокко и Кувейте были вынуждены частично закрыть свои инфраструктуры после атаки. Несколькими месяцами ранее LAUSD пытался договориться с группой, чтобы избежать утечки украденных данных, но переговоры не увенчались успехом.
«К сожалению, как и ожидалось, данные недавно были опубликованы преступной организацией», — заявил LAUSD вскоре после инцидента. «В партнерстве с правоохранительными органами наши эксперты анализируют полный объем утечки данных.»
Личности хакеров остаются неизвестными на данный момент.
Источник: TechRadar
