Nhóm tội phạm mạng Vanilla Tempest sử dụng INC Ransom nhắm vào các tổ chức y tế
Các nhà nghiên cứu bảo mật của Microsoft cho biết một tổ chức chuyên tấn công ransomware mà họ đang theo dõi có tên là Vanilla Tempest hiện đang nhắm mục tiêu vào các tổ chức chăm sóc sức khỏe của Mỹ.
1. Vanilla Tempest là ai?
Hoạt động từ đầu tháng 6 năm 2021, Vanilla Tempest (tên trước đây là DEV-0832 và Vice Society) thường xuyên nhắm mục tiêu vào các lĩnh vực như giáo dục, y tế, IT và sản xuất, bằng cách sử dụng nhiều chủng loại ransomware khác nhau như BlackCat, Quantum Locker, Zeppelin và Rhysida.
Khi còn hoạt động với tư cách Vice Society, nhóm hacker này được biết đến với việc sử dụng nhiều chủng ransomware ví dụ như Hello Kitty/Five Hands và Zeppelin.
2. Mức độ ảnh hưởng
INC Ransom là một nhóm ransomware mới xuất hiện vào tháng 8 năm 2023. Từ khi bắt đầu hoạt động cho đến giữa tháng 9 năm 2023, nhóm này đã rò rỉ dữ liệu của hơn chục nạn nhân trên blog của chúng. Nhóm ransomware thực hiện hành vi tống tiền gấp đôi và gấp ba so với các nhóm khác.
Trong một cuộc phỏng vấn gần đây ,Microsoft tiết lộ rằng các chuyên gia của họ đã quan sát thấy Vanilla Tempest sử dụng ransomware INC lần đầu tiên trong một cuộc tấn công vào lĩnh vực chăm sóc sức khỏe của Mỹ.
Nạn nhân của nhóm này chủ yếu là các doanh nghiệp tư nhân, một tổ chức chính phủ và một hiệp hội từ thiện. Tất cả các nạn nhân đều đến từ các nước phương Tây, phần lớn là Hoa Kỳ và Châu Âu (một nạn nhân duy nhất đến từ Singapore).
Khi thương lượng với các nạn nhân, nhóm này đưa ra một số bằng chứng như ảnh chụp dữ liệu cá nhân (ID, bằng lái xe,...) và vài thông tin thêm khác để tống tiền nạn nhân. Cá biệt, nhóm này tố cáo một nạn nhân đã từng thực hiện hành vi rửa tiền, ám chỉ rằng nạn nhân có đủ tiền để trả tiền chuộc và chúng yêu cầu 160.000 USD tiền chuộc từ nạn nhân. Trong một trường hợp khác, kẻ tấn công đe dọa hai khách hàng của nạn nhân rằng sẽ thực hiện supply chain attack trong trường hợp nạn nhân không trả tiền chuộc.
3. Cơ chế xâm nhập
Trong quá trình tấn công, Vanilla Tempest đã giành quyền truy cập vào mạng nội bộ thông qua Storm-0494 threat actor, loại mã độc mà lây nhiễm vào hệ thống của nạn nhân bằng Gootloader malware downloader.
Một khi đã vào bên trong hệ thống, những kẻ tấn công sẽ cài đặt mã độc Supper và triển khai công cụ đồng bộ hóa dữ liệu MEGA và remote desktop AnyDesk hợp pháp.
Sau đó, những kẻ tấn công lây lan trong mạng bằng cách sử dụng Remote Desktop Protocol (RDP) và Windows Management Instrumentation (WMI) Provider Host để lây lan phần mềm ransomware INC trên mạng của nạn nhân.
4. Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức một số cách để giảm thiểu rủi ro với chiến dịch này:
Sử dụng các công cụ phát hiện xâm nhập: Triển khai các hệ thống giám sát và cảnh báo về hoạt động bất thường.
Phân vùng mạng: Phân chia mạng thành các vùng để hạn chế truy cập trái phép và lây lan lân cận ra các vùng mạng quan trọng.
5. IOCs liên quan đến INC Ransomware
SHA-256 | Description |
fcefe50ed02c8d315272a94f860451bfd3d86fa6ffac215e69dfa26a7a5deced | INC Ransomware Binary |