A Microsoft revelou que um ator de ameaça com motivações financeiras foi observado utilizando pela primeira vez uma variação de ransomware chamada INC para mirar no setor de saúde nos EUA.
A equipe de inteligência de ameaças da gigante da tecnologia está monitorando a atividade sob o nome Vanilla Tempest (anteriormente DEV-0832).
"Vanilla Tempest recebe transições de infecções por GootLoader pelo ator de ameaça Storm-0494, antes de implantar ferramentas como o backdoor Supper, a ferramenta legítima de monitoramento remoto e gerenciamento (RMM) AnyDesk, e a ferramenta de sincronização de dados MEGA," disse em uma série de publicações compartilhadas no X.
No próximo passo, os atacantes procedem para realizar movimento lateral através do Protocolo de Área de Trabalho Remota (RDP) e então usam o Host do Provedor de Instrumentação de Gerenciamento do Windows (WMI) para implantar o payload do ransomware INC.
O fabricante do Windows disse que o Vanilla Tempest está ativo desde pelo menos julho de 2022, com ataques anteriores mirando nos setores de educação, saúde, TI e manufatura usando diversas famílias de ransomware, como BlackCat, Quantum Locker, Zeppelin e Rhysida.
É digno de nota que o ator de ameaça também é rastreado sob o nome Vice Society, que é conhecido por empregar lockers já existentes para realizar seus ataques, ao invés de construir uma versão personalizada própria.
O desenvolvimento vem enquanto grupos de ransomware como BianLian e Rhysida foram observados cada vez mais utilizando o Azure Storage Explorer e AzCopy para exfiltrar dados sensíveis de redes comprometidas em uma tentativa de evadir detecção.
"Essa ferramenta, usada para gerenciar o armazenamento Azure e objetos dentro dele, está sendo reaproveitada por atores de ameaças para transferências de dados em larga escala para armazenamento em nuvem," disse o pesquisador da modePUSH, Britton Manahan.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...