19 de septiembre de 2024Ravie LakshmananSalud / Malware Microsoft ha revelado que se ha observado a un actor de amenazas con motivaciones económicas utilizando una cepa de ransomware llamada INC por primera vez para atacar al sector de la salud en los EE. UU. El equipo de inteligencia de amenazas del gigante tecnológico está rastreando la actividad bajo el nombre de Vanilla Tempest (anteriormente DEV-0832). «Vanilla Tempest recibe transferencias de infecciones de GootLoader por parte del actor de amenazas Storm-0494, antes de implementar herramientas como la puerta trasera Supper, la herramienta legítima de administración y monitoreo remoto (RMM) AnyDesk y la herramienta de sincronización de datos MEGA», dijo en una serie de publicaciones compartidas en X. En el siguiente paso, los atacantes proceden a realizar un movimiento lateral a través del Protocolo de escritorio remoto (RDP) y luego usan el host del proveedor de Instrumental de administración de Windows (WMI) para implementar la carga útil del ransomware INC. El fabricante de Windows dijo que Vanilla Tempest ha estado activo desde al menos julio de 2022, con ataques anteriores dirigidos a los sectores de educación, atención médica, TI y fabricación utilizando varias familias de ransomware como BlackCat, Quantum Locker, Zeppelin y Rhysida. Vale la pena señalar que el actor de amenazas también se rastrea bajo el nombre de Vice Society, que es conocido por emplear casilleros ya existentes para llevar a cabo sus ataques, en lugar de construir una versión personalizada propia. El desarrollo se produce cuando se ha observado que grupos de ransomware como BianLian y Rhysida utilizan cada vez más Azure Storage Explorer y AzCopy para exfiltrar datos confidenciales de redes comprometidas en un intento de evadir la detección. «Esta herramienta, utilizada para administrar el almacenamiento de Azure y los objetos dentro de él, está siendo reutilizada por actores de amenazas para transferencias de datos a gran escala al almacenamiento en la nube», dijo el investigador de modePUSH Britton Manahan. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.