Из рук в руки: как купленный на форуме код парализовал работу больниц

Microsoft сообщает, что хакерская группа Vanilla Tempest начала атаковать организации здравоохранения в США с использованием программы-вымогателя INC Ransom.

INC Ransom действует в рамках модели «вымогательское ПО как услуга» (Ransomware-as-a-Service, RaaS), и партнеры группы атакуют как государственные, так и частные компании с июля 2023 года. Среди известных жертв — Yamaha Motor Philippines, американское подразделение Xerox Business Solutions, а также Национальная служба здравоохранения Шотландии (NHS).

В мае 2024 года злоумышленник под псевдонимом «salfetka» предложил на хакерских форумах Exploit и XSS исходный код программы-вымогателя для операционных систем Windows и Linux/ESXi за $300 000.

Аналитики Microsoft впервые зафиксировали, как Vanilla Tempest использовала INC Ransom для атаки на сектор здравоохранения США. Во время атаки Vanilla Tempest получила доступ к сети через группу Storm-0494, которая заразила системы жертвы загрузчиком вредоносного ПО Gootloader. Оказавшись внутри, хакеры внедрили бэкдор Supper и развернули легитимные инструменты удаленного мониторинга AnyDesk и синхронизации данных MEGA. Далее киберпреступники распространили программу-вымогатель по сети с помощью протокола RDP (Remote Desktop Protocol) и инструментов управления Windows Management Instrumentation Provider Host.

Хотя Microsoft не назвала пострадавшую организацию, известно, что аналогичная версия программы-вымогателя была применена в кибератаке на больницы McLaren Health Care в штате Мичиган в августе. Тогда кибератака привела к сбоям в работе IT-систем и телефонных линий, а также к утрате доступа к базам данных с информацией о пациентах. Из-за этого медицинское учреждение было вынуждено перенести ряд запланированных приемов и процедур.

Vanilla Tempest активна с июня 2021 года. Ранее она была известна под именами DEV-0832 и Vice Society. Группа часто атакует такие сектора, как образование, здравоохранение, IT и промышленность, используя различные программы-вымогатели, включая BlackCat, Quantum Locker, Zeppelin и Rhysida. В прошлом году исследователи из CheckPoint связали Vice Society с бандой Rhysida, которая также специализируется на атаках на медицинские учреждения.