Vanilla Tempest prueba su nueva adquisición en clínicas de EE. UU.
Microsoft informa que el grupo de hackers Vanilla Tempest ha comenzado a atacar organizaciones de salud en los EE. UU. utilizando el ransomware INC Ransom.
INC Ransom opera bajo el modelo de "ransomware como servicio" (Ransomware-as-a-Service, RaaS), y los socios del grupo han atacado tanto a empresas públicas como privadas desde julio de 2023. Entre las víctimas más conocidas se encuentran Yamaha Motor Philippines, la división estadounidense de Xerox Business Solutions y el Servicio Nacional de Salud de Escocia (NHS).
En mayo de 2024, un atacante con el seudónimo "salfetka" ofreció en los foros de hackers Exploit y XSS el código fuente del ransomware para los sistemas operativos Windows y Linux/ESXi por $300 000.
Los analistas de Microsoft detectaron por primera vez cómo Vanilla Tempest utilizó INC Ransom para atacar el sector de la salud en los EE. UU. Durante el ataque, Vanilla Tempest obtuvo acceso a la red a través del grupo Storm-0494, que infectó los sistemas de la víctima con el cargador de malware Gootloader. Una vez dentro, los hackers instalaron una puerta trasera Supper e implementaron herramientas legítimas de monitoreo remoto como AnyDesk y de sincronización de datos como MEGA. Luego, los ciberdelincuentes propagaron el ransomware a través de la red utilizando el protocolo RDP (Remote Desktop Protocol) y herramientas de gestión como Windows Management Instrumentation Provider Host.
Aunque Microsoft no ha nombrado la organización afectada, se sabe que una versión similar del ransomware fue utilizada en un ciberataque a los hospitales McLaren Health Care en el estado de Míchigan en agosto. Ese ciberataque provocó interrupciones en los sistemas de TI y las líneas telefónicas, así como la pérdida de acceso a bases de datos con información de pacientes. Como resultado, la institución médica se vio obligada a posponer varias citas y procedimientos programados.
Vanilla Tempest ha estado activa desde junio de 2021. Anteriormente, era conocida como DEV-0832 y Vice Society. El grupo a menudo ataca sectores como la educación, la salud, TI e industria, utilizando diversos ransomware, incluidos BlackCat, Quantum Locker, Zeppelin y Rhysida. El año pasado, investigadores de CheckPoint vincularon a Vice Society con la banda Rhysida, que también se especializa en ataques a instituciones médicas.