A Microsoft divulgou que um grupo de cibercriminosos está utilizando pela primeira vez o ransomware INC em ataques direcionados ao setor de saúde nos Estados Unidos. O grupo, conhecido como Vanilla Tempest (anteriormente DEV-0832), está sendo monitorado pela equipe de inteligência de ameaças da gigante da tecnologia.

Segundo a Microsoft, o Vanilla Tempest recebe o controle de infecções causadas pelo GootLoader, um malware distribuído pelo grupo Storm-0494. Após esse ponto inicial, o grupo utiliza ferramentas como o backdoor Supper, o AnyDesk e a ferramenta de sincronização de dados MEGA para continuar suas atividades maliciosas. Os atacantes realizam movimentos laterais dentro da rede comprometida, utilizando o protocolo Remote Desktop Protocol (RDP) e o serviço Windows Management Instrumentation (WMI), para, em seguida, distribuir o ransomware INC.

Acredita-se que o Vanilla Tempest esteja ativo desde julho de 2022, com ataques anteriores visando setores como educação, saúde, TI e manufatura. O grupo utilizou outras variantes de ransomware, como BlackCat, Quantum Locker, Zeppelin e Rhysida. Ele também é conhecido como Vice Society, grupo que se caracteriza por reutilizar ferramentas de ransomware já existentes, o que facilita os ataques e torna mais difícil rastrear a origem dos malwares.

Esse alerta da Microsoft surge em um momento em que outros grupos de ransomware, como BianLian e Rhysida, estão empregando ferramentas como Azure Storage Explorer e AzCopy para transferir grandes volumes de dados sensíveis de redes comprometidas para armazenamento em nuvem, em uma tentativa de evitar a detecção.