A Microsoft revelou que um agente de ameaça com motivação financeira foi observado usando uma cepa de ransomware chamada INC pela primeira vez para atingir o setor de saúde nos EUA
A equipe de inteligência de ameaças da gigante da tecnologia está rastreando a atividade sob o nome Tempestade de Baunilha (anteriormente DEV-0832).
“O Vanilla Tempest recebe transferências de infecções do GootLoader pelo agente de ameaças Storm-0494, antes de implantar ferramentas como o backdoor Supper, a ferramenta legítima de monitoramento e gerenciamento remoto (RMM) AnyDesk e a ferramenta de sincronização de dados MEGA”, disse em uma série de postagens compartilhadas no X.
Na próxima etapa, os invasores realizam movimentos laterais por meio do Protocolo de Área de Trabalho Remota (RDP) e, em seguida, usam o Host do Provedor do Home windows Administration Instrumentation (WMI) para implantar a carga do ransomware INC.
A fabricante do Home windows disse que o Vanilla Tempest está ativo desde pelo menos julho de 2022, com ataques anteriores direcionados aos setores de educação, saúde, TI e manufatura, usando várias famílias de ransomware, como BlackCat, Quantum Locker, Zeppelin e Rhysida.
Vale ressaltar que o agente da ameaça também é rastreado pelo nome Vice Society, que é conhecido por utilizar armários já existentes para executar seus ataques, em vez de criar uma versão personalizada dos mesmos.
O desenvolvimento ocorre em um momento em que grupos de ransomware como BianLian e Rhysida têm sido observados cada vez mais usando o Azure Storage Explorer e o AzCopy para extrair dados confidenciais de redes comprometidas em uma tentativa de evitar a detecção.
“Essa ferramenta, usada para gerenciar o armazenamento do Azure e os objetos nele contidos, está sendo reutilizada por agentes de ameaças para transferências de dados em larga escala para armazenamento em nuvem”, disse o pesquisador do modePUSH, Britton Manahan.