Microsoft telah mengungkapkan bahwa pelaku ancaman yang bermotivasi finansial telah diamati menggunakan jenis ransomware bernama INC untuk pertama kalinya untuk menargetkan sektor perawatan kesehatan di AS.
Tim intelijen ancaman raksasa teknologi melacak aktivitas tersebut dengan nama Badai Vanili (sebelumnya DEV-0832).
“Vanilla Tempest menerima serah terima dari infeksi GootLoader oleh pelaku ancaman Storm-0494, sebelum menyebarkan alat-alat seperti pintu belakang Supper, alat pemantauan dan pengelolaan jarak jauh (RMM) AnyDesk yang sah, dan alat sinkronisasi data MEGA,” katanya dalam serangkaian posting yang dibagikan di X.
Pada langkah berikutnya, penyerang melakukan pergerakan lateral melalui Remote Desktop Protocol (RDP) dan kemudian menggunakan Windows Management Instrumentation (WMI) Provider Host untuk menyebarkan muatan ransomware INC.
Pembuat Windows mengatakan Vanilla Tempest telah aktif setidaknya sejak Juli 2022, dengan serangan sebelumnya menargetkan sektor pendidikan, perawatan kesehatan, TI, dan manufaktur menggunakan berbagai keluarga ransomware seperti BlackCat, Quantum Locker, Zeppelin, dan Rhysida.
Perlu dicatat bahwa aktor ancaman tersebut juga dilacak dengan nama Vice Society, yang dikenal menggunakan loker yang sudah ada untuk melaksanakan serangannya, alih-alih membuat versi khusus milik mereka sendiri.
Perkembangan ini terjadi saat kelompok ransomware seperti BianLian dan Rhysida terlihat semakin banyak menggunakan Azure Storage Explorer dan AzCopy untuk mencuri data sensitif dari jaringan yang disusupi dalam upaya menghindari deteksi.
“Alat ini, yang digunakan untuk mengelola penyimpanan Azure dan objek di dalamnya, sedang digunakan kembali oleh pelaku ancaman untuk transfer data skala besar ke penyimpanan cloud,” kata peneliti modePUSH Britton Manahan.