В последние месяцы наблюдается тревожная тенденция в сфере кибербезопасности, особенно в секторе здравоохранения США. Майкрософт опубликовала предупреждение о появлении новой угрозы, связанной с группировкой-вымогателем под названием Vanilla Tempest, также известной как Vice Society. Эта киберугроза, похоже, нацелилась на одну из самых уязвимых сфер — медицинское обслуживание, чья защита зачастую оказывается недостаточной перед лицом современных атак. Благодаря исследованиям киберспециалистов из Майкрософт было установлено, что группировка Vanilla Tempest начала использовать новый штамм программ-вымогателей под названием INC. Это первый случай, когда этот тип вредоносного ПО применяется для атак на американские медицинские учреждения.
Исследователи отметили, что группировка начинает свои действия с получения первоначального доступа через инвазии Gootloader, осуществляемые хакерской группой Storm-0494. После получения доступа преступники используют различные программы и инструменты, такие как Supper, AnyDesk и MEGA, для дальнейшего распространения и усиления атаки. По информации Майкрософт, Vanilla Tempest использует протокол удаленного рабочего стола (RDP) для перемещения по сети и развертывает программное обеспечение-вымогатель при помощи Windows Management Instrumentation Provider Host. Тем не менее, компания не раскрыла детали о том, какие именно организации стали жертвами этого кибернападения и насколько оно было успешным. Атаки программ-вымогателей на медицинские учреждения представляют собой серьезную угрозу.
Не только потому, что они могут привести к утечкам крайне чувствительных данных о пациентах, но и потому, что такие инциденты могут вызвать значительные финансовые потери для организаций. Как показывает практика, медицинские учреждения часто оказываются в уязвимом положении, так как время восстановления после подобных атак может быть критически важным для жизни людей. Группировка Vanilla Tempest активна с середины 2022 года и имеет за плечами немалое количество атак в самых различных секторах, включая образование, здравоохранение, корпоративный IT и производство. Один из наиболее тревожных аспектов их стратегии заключается в том, что они часто переключаются между различными типами программ-вымогателей. В отличие от многих других группировок, которые предпочитают использовать один или два шифровальщика, Vanilla Tempest демонстрирует удивительное разнообразие в выборе инструментов.
Ужасащим является тот факт, что за последние месяцы они уже применяли такие программы, как BlackCat, Quantum Locker, Zeppelin и Rhysida. Несмотря на все усилия со стороны Майкрософт и других киберспециалистов, Vanilla Tempest продолжает оставаться сложноуловимой угрозой. В октябре 2022 года Майкрософт уже делала предупреждение об этой группировке, отмечая, что они стали известны благодаря своим нападениям на учебные заведения в США. В некоторых случаях они даже обходятся без шифрования данных и просто крадут информацию, требуя выкуп за её возврат. Эта практика подчеркивает экономическую мотивацию киберпреступников — похищение чувствительных данных становится более выгодным, чем необходимость восстановления системы и попытки расшифровки зашифрованной информации.
Среди известных жертв Vanilla Tempest можно отметить всемирно известную компанию IKEA, которая была атакована в конце ноября 2022 года. Этот инцидент заставил часть инфраструктуры компании в Марокко и Кувейте временно закрыть доступ к своим системам. В другое время на их радаре оказалась Лос-Анджелесская объединённая школьная округа (LAUSD), которой сначала удалось вести переговоры с группировкой о сохранении конфиденциальности украденных данных. Однако после неудачных переговоров данные были наконец-то опубликованы, что подтвердило, насколько серьезные последствия могут иметь кибератаки. Неизвестно, сколько еще организаций стало жертвой Vanilla Tempest, поскольку многие случаи остаются в тени.
Как показывает практика, кибератаки часто не раскрываются, особенно если они произошли в чувствительных отраслях, таких как здравоохранение. Хотя идентификация хакеров зачастую сталкивается с трудностями, важно осознавать, что энергичные меры со стороны технологических компаний, как Майкрософт, могут значительно уменьшить риск для организаций, особенно в таких уязвимых секторах, как здравоохранение. Майкрософт и другие эксперты в области безопасности призывают медицинские учреждения более серьезно относиться к вопросам защиты данных и внедрять комплексные меры безопасности. Одним из важных шагов является обучение сотрудников, улучшение систем обнаружения угроз и инвестирование в современные решения по кибербезопасности. Кроме того, медицинские учреждения должны разработать четкие протоколы на случай появления инцидентов и проводить регулярные тренировки по реагированию на возможные атаки.
В заключение, обнаружение новой киберугрозы в секторе здравоохранения подчеркивает необходимость всей отрасли оставаться на чеку и принимать меры для защиты своих систем и данных. Как показали предыдущие инциденты, последствия кибератак могут быть разрушительными не только для самих организаций, но и для миллионов пациентов, которые зависят от их услуг. Важно активно сотрудничать с киберспециалистами и реагировать на новые угрозы, чтобы минимизировать риски и защитить чувствительные данные.
