Microsoft opozarja: Hekerji Vanilla Tempest ciljajo na zdravstveni sektor
Microsoft je poročal, da skupina za izsiljevalsko programsko opremo Vanilla Tempest cilja na ameriške zdravstvene ponudnike z uporabo storitve INC ransomware.
Skupina pridobiva začetni dostop do sistemov žrtev prek okužb tretjih oseb in nato uporablja lateralno gibanje, da razporedi INC šifriranje po omrežju, kar izpostavlja stalno grožnjo, ki jo predstavljajo ransomware skupine za kritične infrastrukturne sektorje, kot je zdravstvena nega.
Napadalec Storm-0494 je izkoristil kompromitirano dostopno točko, ki verjetno izhaja iz okužbe z Gootloaderjem, da je pridobil vstop v omrežje žrtve, nato pa je razporedil Supper backdoor in legitimna orodja, kot so AnyDesk in MEGA, da je vzpostavil oddaljen dostop in omogočil lateralno gibanje.
Z izkoriščanjem RDP in Windows Management Instrumentation Provider Host je napadalec na koncu razporedil INC ransomware, kar je povzročilo precejšnje motnje in izgubo podatkov.
Čeprav so razkrili, da je bil zdravstveni ponudnik tarča nedavnega kibernetskega napada, identiteta določene organizacije, ki je bila napadena, ni bila razkrita.
Napadalec, verjetno povezan z INC ransomware skupino, je za ekstrakcijo podatkov izkoristil orodje za sinhronizacijo podatkov MEGASync. Ni jasno, ali je bila postavljena zahteva za odkupnino ali če je bilo kakšen plačilo prejeto ali zavrnjeno.
Prejšnja analiza nakazuje, da se je napadalec morda odločil za izsiljevanje brez šifriranja, pri čemer uporablja ukradene podatke kot vzvod, kar je taktika, ki jo običajno uporablja INC skupina.
Grožnja Vanilla Tempest, znana tudi kot DEV-0832 in Vice Society, je aktivna od junija 2021, predvsem cilja na izobraževalne, zdravstvene in proizvodne sektorje z uporabo različnih družin ransomware, kot so BlackCat, Quantum Locker, Zeppelin in Rhysida.
Njihove metode napadov pogosto vključujejo uporabo PowerShell skript za infiltracijo in kompromitacijo sistemov ter imajo zgodovino izkoriščanja ranljivosti v teh sektorjih in zahtevanjem odkupnine za obnovitev šifriranih podatkov.
Microsoft je poročal o premiku ransomware skupine Vanilla Tempest od ciljanje zdravstvenih organizacij k uporabi INC ransomware-as-a-service platforme, kar je verjetno posledica naprednih sposobnosti dvojnega/trojnega izsiljevanja storitve INC, ki ponuja hitrejšo in bolj zanesljivo metodo za pridobivanje plačila odkupnine.
Z izkoriščanjem orodij INC lahko Vanilla Tempest bolj učinkovito ekstraktira podatke, šifrira sisteme in grozi z objavo občutljivih informacij, s čimer poveča pritisk na žrtve, da izpolnijo njihove zahteve.
Pomembnost zaščite zdravstvenega sektorja
Zdravstveni sektor se vse bolj sooča z nevarnostjo kibernetskih napadov, zlasti izsiljevalske programske opreme. Zdravstveni ponudniki pogosto hranijo velike količine občutljivih podatkov, vključno z osebnimi zdravstvenimi kartoni pacientov, finančnimi informacijami in operativnimi podatki. Zaradi tega so tarča s strani hekerskih skupin, kot je Vanilla Tempest, še posebej mikavni.
Posledice napadov na zdravstvene organizacije so lahko katastrofalne. Poleg finančnih izgub lahko napadi povzročijo motnje v zagotavljanju zdravstvenih storitev, kar lahko neposredno vpliva na zdravje in varnost pacientov. Zato je izjemno pomembno, da te organizacije razvijejo robustne kibernetske varnostne protokole in strategije za preprečevanje tovrstnih napadov.
Sodelovanje in deljenje informacij
Za učinkovito obrambo pred rastočimi kibernetskimi grožnjami je ključnega pomena sodelovanje med zdravstvenimi ponudniki, vladnimi agencijami, kibernetskimi varnostnimi podjetji in širšo skupnostjo. Deljenje informacij o novih grožnjah, napadih in zaščitnih ukrepih lahko pomaga izboljšati pripravljenost in odzivnost organizacij.
Microsoft aktivno sodeluje z različnimi partnerji, da bi zagotovil najnovejše informacije in vire za zaščito pred kibernetskimi grožnjami. Njihova prizadevanja vključujejo redno obveščanje o novih napadalnih metodah, ranljivostih in najboljših praksah za zaščito.
Krepitev varnosti in ozaveščanje
Zaščita pred izsiljevalsko programsko opremo zahteva celovit pristop, ki vključuje tehnične ukrepe, ozaveščanje in usposabljanje osebja. Tukaj je nekaj ključnih korakov, ki jih lahko zdravstveni ponudniki sprejmejo za zmanjšanje tveganja napadov:
- Redno posodabljajte sisteme in programsko opremo: Zagotovite, da so vsi sistemi in programska oprema redno posodobljeni, da preprečite izkoriščanje znanih ranljivosti.
- Uporabite večnivojsko overjanje: Implementirajte večnivojsko overjanje za dostop do ključnih sistemov in podatkov, da dodatno zaščitite pred nepooblaščenim dostopom.
- Izvajajte varnostne kopije podatkov: Redno ustvarjajte varnostne kopije kritičnih podatkov in jih shranjujte na ločenih, varnih lokacijah.
- Vozite varnostne preglede in teste: Redno izvajajte varnostne preglede, penetracijske teste in preverjanje pripravljenosti na kibernetske incidente.
- Izobražujte osebje: Ozaveščajte in usposabljajte zaposlene o kibernetski varnosti, phishing napadih in drugih potencialnih grožnjah.
- Vzpostavite načrt odzivanja na incidente: Razvijte in preizkusite načrt odzivanja na kibernetske incidente, da boste v primeru napada pripravljeni hitro in učinkovito ukrepati.
Krepitev varnosti in ozaveščanje na vseh nivojih organizacije je ključnega pomena za zaščito pred izsiljevalsko programsko opremo in drugimi kibernetskimi grožnjami.
Zaključne Misli
Napadi izsiljevalske programske opreme, kot so tisti, ki jih izvaja skupina Vanilla Tempest, predstavljajo resno grožnjo za zdravstvene organizacije. Zavedanje o teh tveganjih, sodelovanje in deljenje informacij ter implementacija robustnih varnostnih ukrepov so ključni koraki za zaščito pred tem vedno prisotnim tveganjem.