A Microsoft állítása szerint a Vanilla Tempest zsarolóvírus csoport amerikai egészségügyi szervezeteket céloz meg INC Ransom RaaS (Ransomware-as-a-Service) támadásokban.
A Microsoft fenyegetéselemzői megfigyelték, hogy a Vanilla Tempest csoport először használ INC ransomware-t az Egyesült Államok egészségügyi szektora elleni támadás során. A csoport azáltal szerzett hozzáférést a hálózatokhoz, hogy megfertőzték az áldozatok rendszereit a Gootloader malware letöltővel. Ezt követően a támadók a Supper malware-rel bejutottak a feltört rendszerekbe telepítve az AnyDesk távfelügyeleti, valamint a MEGA adatszinkronizáló eszközöket. Ezután lateral movement-et hajtottak végre RDP-vel és Windows Management Instrumentation Provider Host segítségével, hogy INC zsarolóprogramot telepítsenek az áldozatok hálózatára.
A támadás megzavarta az informatikai és telefonrendszereket, az egészségügyi rendszer elvesztette hozzáférését a beteginformációs adatbázisaihoz, és arra kényszerült, hogy óvatosságból átütemezze az előjegyzéseket, valamint a nem sürgős vagy tervezett beavatkozásokat. Az, hogy pontosan melyik szervezet volt érintett, nem hozták nyilvánosságra.
Ki is a Vanilla Tempest?
A Vanilla Tempest (korábban DEV-0832 és Vice Society néven szerepelt) 2021. június eleje óta gyakran veszi célba az oktatási, egészségügyi, informatikai, gyártási szektorokat különféle ransomware támadásokkal (BlackCat, Quantum Locker, Zeppelin, Rhysida). Amíg Vice Society néven tevékenykedett, arról volt ismert, hogy több ransomware törzset használt a támadások során, köztük a Hello Kitty / Five Hands és a Zeppelin ransomware-t.
A CheckPoint 2023 augusztusában összekapcsolta a Vice Society-t a Rhysida ransomware bandával, egy másik az egészségügyi ágazatot célzó csoporttal, amely megpróbálta eladni a chicagói Lurie Gyermekkórházból ellopott betegadatokat.
