A Microsoft interrompeu uma série de ataques com o ransomware Rhysida no início de outubro ao revogar mais de 200 certificados usados para assinar instaladores maliciosos do Teams.
O grupo de ameaças Vanilla Tempest, responsável pelos ataques, utilizou domínios que imitavam o Microsoft Teams, como teams-install[.]top, teams-download[.]buzz, teams-download[.]top e teams-install[.]run.
Por meio dessas páginas, distribuíam arquivos falsos chamados MSTeamsSetup.exe, que infectavam as vítimas com o backdoor Oyster.
Segundo a Microsoft, “Vanilla Tempest, também monitorado por outros fornecedores como VICE SPIDER e Vice Society, é um ator motivado financeiramente que foca no uso de ransomware e na exfiltração de dados para extorsão”.
O grupo já utilizou diferentes tipos de ransomware, incluindo BlackCat, Quantum Locker e Zeppelin.
Contudo, mais recentemente, sua principal ferramenta tem sido o ransomware Rhysida.
Ativo desde pelo menos junho de 2021, o Vanilla Tempest tem como alvo frequente organizações dos setores de educação, saúde, tecnologia e manufatura.
Quando ainda atuava sob o nome Vice Society, o grupo utilizava múltiplas variantes de ransomware, como Hello Kitty/Five Hands e Zeppelin.
Em setembro de 2022, o FBI e a CISA emitiram um alerta conjunto destacando que a Vice Society tinha como alvo principal o setor educacional dos Estados Unidos.
O aviso foi divulgado após o grupo de cibercriminosos invadir o Los Angeles Unified School District (LAUSD), o segundo maior distrito escolar do país.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...