Microsoft ha revelado que se ha observado que un actor de amenazas con motivaciones económicas ha utilizado por primera vez una cepa de ransomware llamada INC para atacar al sector sanitario en EE. UU.
El equipo de inteligencia de amenazas del gigante tecnológico está rastreando la actividad bajo el nombre Tempestad de vainilla (anteriormente DEV-0832).
«Vanilla Tempest recibe transferencias de infecciones de GootLoader por parte del actor de amenazas Storm-0494, antes de implementar herramientas como la puerta trasera Supper, la herramienta legítima de administración y monitoreo remoto (RMM) AnyDesk y la herramienta de sincronización de datos MEGA», dijo. dicho en una serie de publicaciones compartidas en X.
En el siguiente paso, los atacantes proceden a realizar un movimiento lateral a través del Protocolo de Escritorio Remoto (RDP) y luego utilizan el Host del Proveedor de Instrumental de Administración de Windows (WMI) para implementar la carga útil del ransomware INC.
El fabricante de Windows dijo que Vanilla Tempest ha estado activo desde al menos julio de 2022, con ataques anteriores dirigidos a los sectores de educación, atención médica, TI y fabricación utilizando varias familias de ransomware como BlackCat, Quantum Locker, Zeppelin y Rhysida.
Vale la pena señalar que el actor de la amenaza también es rastreado bajo el nombre de Vice Society, que es conocido por emplear casilleros ya existentes para llevar a cabo sus ataques, en lugar de construir una versión personalizada propia.
Este desarrollo surge a medida que se ha observado cada vez más que grupos de ransomware como BianLian y Rhysida utilizan Azure Storage Explorer y AzCopy para extraer datos confidenciales de redes comprometidas en un intento de evadir la detección.
«Esta herramienta, utilizada para administrar el almacenamiento de Azure y los objetos que contiene, está siendo reutilizada por actores de amenazas para transferencias de datos a gran escala al almacenamiento en la nube», dijo el investigador de modePUSH Britton Manahan. dicho.