Inc fidye yazılımı yükselişte ve yakın zamanda tanınmış bir tehdit aktörü bunu Amerikan sağlık kuruluşlarını hedef almak için kullanıyor.
Microsoft’un Vanilla Tempest olarak takip ettiği Vice Society, Temmuz 2022’den beri aktif. Rusça konuşan grup, bu süre zarfında çift gasp saldırılarına yardımcı olmak için BlackCat, Hello Kitty, Quantum Locker, Rhysida, Zeppelin (kendi varyantı da dahil) ve kendi adını taşıyan programı da dahil olmak üzere çeşitli fidye yazılımı ailelerinden yararlandı.
İçinde X’te bir dizi gönderiMicrosoft Tehdit İstihbarat Merkezi (MSTIC), grubun son silahını şu şekilde işaretledi: Inc. fidye yazılımı.
MSTIC’in tehdit istihbaratı kıdemli direktörü Jeremy Dallman, “Vanilla Tempest, MSTIC’in izlediği en aktif fidye yazılımı operatörlerinden biri,” diyor. “Sağlık hizmetlerini hedef aldıklarını bir süredir görsek de, buradaki dikkat çekici değişim, daha büyük fidye yazılımı hizmeti ekosisteminden yararlanırken bir Inc fidye yazılımı yükünü kullanmaları.”
Vice Society’nin Sağlık Alanındaki Son Girişimi
Yardımcı Toplum çeşitli endüstrilerle flört ediyorBT ve üretim dahil olmak üzere, ancak en çok anti-virüs karşıtı kampanyalarıyla tanınır eğitim ve sağlık sektörleri.
Bu anlamda, daha geniş tehdit manzarasıyla uyumludur. Check Point Research’e göre, sağlık sektörü fidye yazılımı aktörleri tarafından en sık hedef alınan sektördür. Diğer siber suçlu türleri de buna benzer, küresel sağlık kuruluşları haftada ortalama 2.018 saldırı yaşıyor, bu da geçen yıla göre %32’lik bir artış anlamına geliyor.
Check Point’in Amerika Kıtası CISO’su Cindi Carter, bunun mantıklı olduğunu söylüyor. Eski teknoloji ve bürokrasi tarafından engellenmesinin yanı sıra, “Sağlık kuruluşlarının yakaladığı, oluşturduğu ve paylaştığı veri türü siber suçlular için çok değerlidir,” diyor. “Tıbbi kaydınız, kendi parmak izinizin yanı sıra sizin hakkınızda en kolay tanımlanabilir dijital bilgi parçasıdır,” diyor.
Sağlık sektörünün içsel zayıflıklarından yararlanarak son dönemde yapılan faaliyetlerde Vice Society, ilk erişimi elde etti daha önce enfekte olmuş kurbanlar Gootloader arka kapı yükleyicisi ile. Daha sonra Supper arka kapısı, AnyDesk’in uzaktan izleme ve yönetim (RMM) çözümü ve MEGA’nın veri senkronizasyon aracı gibi araçlar dağıttı, bunlardan son ikisi meşru ticari ürünlerdir. Grup, etkilenen ağlarda yanal hareket gerçekleştirmek için Uzak Masaüstü Protokolü’nü (RDP) kullandı ve Inc fidye yazılımını düşürmek için Windows Yönetim Araçları (WMI) sağlayıcı ana bilgisayarını kötüye kullandı.
Inc Fidye Yazılımının Yükselişi
Geçtiğimiz yazdan beri faaliyet gösteren Inc fidye yazılımı hizmeti (RaaS) operasyonu, özellikle büyük kuruluşların (Xerox ve İskoçya Ulusal Sağlık Hizmeti (NHS) dahil) tehlikeye atılması nedeniyle birçok manşet kazandı. GuidePoint Security’nin tehdit istihbarat danışmanı Jason Baker, çalışma biçiminin de hırsının kapsamına uyduğunu söylüyor.
“Özellikle Inc iştiraklerinin öne çıkmasını sağlayan yönü, müzakere sürecinde çok yapılandırılmış bir çalışma biçimine sahip olmalarıdır. Doğaçlama yoktur. Doğaçlama sözler yoktur. Telaş ve tehditler nispeten en aza indirilir,” diye hatırlıyor onlarla ilk elden muhatap olduğu anıları.
“Bu, birinin bankayı soyması ile birinin birini ara sokağa sokması arasındaki farka benzer. Birinin ne kadar düşündüğünü anlayabilirsiniz. [an attack] ve ne yaptığını biliyorlar” diyor.
Dark Reading’in geçen ay bildirdiği gibi, Inc’in kötü amaçlı yazılımı bilgi sızdırdı veri şifrelemesinin doğası ve başarısı hakkında. Bu, savunuculara iyileştirme ve iştirakleriyle olası müzakerelerde potansiyel bir avantaj sağlasa da Baker, gerçekliğin daha karmaşık olduğu konusunda uyarıyor, özellikle de sağlık hizmetleri söz konusu olduğunda.
“Bir kuruluş kurtarılabileceğini ve bir şifre çözücüye ihtiyaç duymadığını biliyorsa, fidye ödemesi gerektiği hissi önemli ölçüde azalır,” diye belirtiyor. “Ancak karmaşık olduğu yer, özellikle hassas kişisel olarak tanımlanabilir sağlık bilgileri (PHI) veya hassas fikri mülkiyet söz konusuysa, modern çift gasptır. Çift gasp metodolojisinin bu kadar uzun süre varlığını sürdürmesinin bir nedeni var: Bir dereceye kadar, kurtarma yeteneğini bile aşıyor.”