Microsoft a révélé qu’un acteur malveillant motivé par des raisons financières a été observé en train d’utiliser une souche de ransomware appelée INC pour la première fois pour cibler le secteur de la santé aux États-Unis.
L’équipe de renseignement sur les menaces du géant de la technologie suit l’activité sous le nom Tempête de vanille (anciennement DEV-0832).
« Vanilla Tempest reçoit des transmissions d’infections GootLoader par l’acteur de menace Storm-0494, avant de déployer des outils comme la porte dérobée Supper, l’outil légitime de surveillance et de gestion à distance (RMM) AnyDesk et l’outil de synchronisation de données MEGA », a-t-il déclaré. dit dans une série de publications partagées sur X.
À l’étape suivante, les attaquants procèdent à un mouvement latéral via le protocole RDP (Remote Desktop Protocol), puis utilisent l’hôte du fournisseur Windows Management Instrumentation (WMI) pour déployer la charge utile du ransomware INC.
Le fabricant de Windows a déclaré que Vanilla Tempest était actif depuis au moins juillet 2022, avec des attaques précédentes ciblant les secteurs de l’éducation, de la santé, de l’informatique et de la fabrication en utilisant diverses familles de ransomwares telles que BlackCat, Quantum Locker, Zeppelin et Rhysida.
Il convient de noter que l’acteur de la menace est également suivi sous le nom de Vice Society, connu pour utiliser des casiers déjà existants pour mener à bien ses attaques, au lieu de créer sa propre version personnalisée.
Cette évolution intervient alors que des groupes de ransomware comme BianLian et Rhysida ont été observés utilisant de plus en plus Azure Storage Explorer et AzCopy pour exfiltrer des données sensibles des réseaux compromis dans le but d’échapper à la détection.
« Cet outil, utilisé pour gérer le stockage Azure et les objets qu’il contient, est réutilisé par les acteurs malveillants pour les transferts de données à grande échelle vers le stockage cloud », explique Britton Manahan, chercheur chez modePUSH. dit.