Microsoft, finansal amaçlı bir tehdit aktörünün ABD'deki sağlık sektörünü hedef almak için ilk kez INC adlı bir fidye yazılımı türünü kullandığını açıkladı. Şirketin tehdit istihbarat ekibi, bu tehdit faaliyetini Vanilla Tempest (önceki adıyla DEV-0832) olarak adlandırılan bir grup altında takip ediyor. Vanilla Tempest, saldırılarını başlatmadan önce GootLoader enfeksiyonlarından devralmalar gerçekleştiriyor ve ardından Supper arka kapısı, meşru AnyDesk uzaktan izleme ve yönetim aracı (RMM) ile MEGA veri senkronizasyon araçlarını devreye sokuyor. Bu süreçte, tehdit aktörü Storm-0494 tarafından yürütülen operasyonlar temel alınarak saldırılar sürdürülüyor.
Saldırının bir sonraki aşamasında, tehdit aktörleri Uzak Masaüstü Protokolü (RDP) üzerinden yatay hareket gerçekleştirmeye başlıyor ve Windows Yönetim Araçları (WMI) Sağlayıcı Ana Bilgisayarını kullanarak INC fidye yazılımını sisteme dağıtıyor. Microsoft, Vanilla Tempest'in en az Temmuz 2022'den bu yana aktif olduğunu ve geçmişte BlackCat, Quantum Locker, Zeppelin ve Rhysida gibi fidye yazılımı aileleriyle eğitim, sağlık, bilgi teknolojisi (BT) ve üretim sektörlerini hedef alan saldırılar gerçekleştirdiğini belirtti.
Bu tehdit aktörünün Vice Society adı altında da takip edildiği biliniyor. Vice Society, kendi fidye yazılımı sürümlerini geliştirmek yerine, halihazırda var olan fidye yazılımı türlerini kullanarak saldırılar düzenlemesiyle tanınıyor. Özellikle, Vanilla Tempest'in bu strateji ile çeşitli sektörleri hedef aldığı gözlemleniyor.
Bunun yanı sıra, bu gelişme, BianLian ve Rhysida gibi diğer fidye yazılımı gruplarının da dikkat çekici bir yöntemle Azure Storage Explorer ve AzCopy gibi araçları kullanarak hassas verileri tehlikeye atılmış ağlardan sızdırmaya yönelik artan bir eğilim göstermesinin ardından ortaya çıktı. Bu fidye yazılımı grupları, tespit edilmekten kaçınmak amacıyla bu araçları kullanarak bulut depolama alanlarına büyük miktarda veri aktarıyorlar.
ModePUSH araştırmacısı Britton Manahan, Azure Storage ve içindeki nesneleri yönetmek için kullanılan bu araçların tehdit aktörleri tarafından büyük ölçekli veri transferleri için yeniden kullanıldığını belirtti. Bu tür araçların kötüye kullanımı, siber saldırganların saldırı süreçlerinde daha karmaşık ve geniş çaplı veri sızdırma faaliyetleri gerçekleştirmesine olanak tanıyor.