Il 18 settembre 2024, Microsoft ha annunciato che l’affiliate di ransomware Vanilla Tempest sta ora attaccando organizzazioni sanitarie statunitensi con ransomware INC. Questo tipo di attacco rappresenta una minaccia significativa per la sicurezza dei dati sanitari e richiede una rapida azione per mitigare i rischi.
Chi è Vanilla Tempest?
Vanilla Tempest, precedentemente tracciato come DEV-0832 e Vice Society, è un gruppo di hacker attivo dal giugno 2021. Ha frequentemente attaccato settori come l’istruzione, la sanità, l’IT e la manifattura, utilizzando diverse tipologie di ransomware, tra cui BlackCat, Quantum Locker, Zeppelin e Rhysida.
Attacchi precedenti
Vanilla Tempest è stato notato per utilizzare più tipologie di ransomware durante gli attacchi. Mentre era attivo come Vice Society, il gruppo era noto per utilizzare ransomware come Hello Kitty/Five Hands e Zeppelin. CheckPoint ha collegato Vice Society con il gruppo Rhysida, noto per attaccare la sanità e aver cercato di vendere dati sanitari rubati dall’Ospedale Lurie di Chicago.
Attacco con ransomware INC
Microsoft ha rivelato che i suoi analisti di minacce hanno osservato il finanziariamente motivato Vanilla Tempest utilizzare ransomware INC per la prima volta in un attacco contro il settore sanitario statunitense. Durante l’attacco, Vanilla Tempest ha ottenuto accesso al network attraverso il gruppo di minacce Storm-0494, che ha infettato i sistemi delle vittime con il downloader di malware Gootloader.
Una volta all’interno, gli attaccanti hanno backdoored i sistemi con il malware Supper e hanno utilizzato strumenti di monitoraggio remoto come AnyDesk e sincronizzazione dati MEGA. Successivamente, hanno utilizzato il Protocollo di Desktop Remoto (RDP) e il Provider Host di Gestione Instrumentazione Windows per distribuire ransomware INC all’interno del network delle vittime.
Impatto sull’assistenza sanitaria
L’attacco ha interrotto i sistemi IT e di telefono, causando la perdita di accesso alle basi di dati dei pazienti e obbligando il sistema sanitario a rimandare alcune visite e procedure non urgenti “per cautela”. Questo tipo di attacco non solo compromette la sicurezza dei dati ma anche la capacità di fornire servizi essenziali alle persone.
Suggerimenti e consigli per la protezione
- Aggiornamenti di sicurezza: Assicurarsi che tutti i sistemi siano aggiornati con gli ultimi patch di sicurezza. Questo può prevenire l’accesso non autorizzato ai sistemi attraverso vulnerabilità note.
- Monitoraggio dei log: Implementare un sistema di monitoraggio dei log per rilevare eventuali attività sospette e reagire tempestivamente.
- Autenticazione a due fattori: Utilizzare l’autenticazione a due fattori per proteggere i conti utente e prevenire l’accesso non autorizzato.
- Backup dei dati: Eseguire regolarmente backup dei dati importanti e archiviarli in un luogo sicuro, come un server esterno o un servizio di cloud sicuro.
- Formazione degli utenti: Offrire formazione agli utenti sul riconoscimento e la prevenzione degli attacchi di ransomware, inclusa l’importanza di non cliccare su link sospetti o scaricare file da fonti non attendibili.
- Implementazione di RDP: Limitare l’accesso RDP solo a utenti autorizzati e utilizzare password forti. Inoltre, disabilitare RDP quando non necessario.
- Utilizzo di strumenti di sicurezza: Utilizzare strumenti di sicurezza come antivirus, firewall e strumenti di monitoraggio del network per rilevare e prevenire attacchi.
- Collaborazione con Microsoft: Collaborare con Microsoft e altre organizzazioni di sicurezza per ricevere aggiornamenti e consigli su come proteggersi da attacchi simili.
