Le groupe de hackers Vanilla Tempest, affilié à des réseaux de ransomware, cible désormais le secteur de la santé aux États-Unis. D’après Microsoft, ce collectif utilise le ransomware INC, une menace grandissante pour les institutions publiques et privées.
Depuis son apparition en juillet 2023, le ransomware INC a frappé diverses organisations à travers le monde, notamment Yamaha Motor Philippines, la division américaine de Xerox Business Solutions, et plus récemment le National Health Service (NHS) en Écosse. Ces attaques ont perturbé des systèmes critiques, entraînant des pertes d’accès aux bases de données et des annulations d’opérations dans plusieurs hôpitaux.
En mai 2024, un cybercriminel surnommé « salfetka » a annoncé la vente du code source d’INC pour 300 000 $, une somme alarmante pour un malware aussi destructeur. Cette situation a mis en alerte les équipes de sécurité, incitant à renforcer les mesures de défense.
Vanilla Tempest : Un acteur de plus en plus redoutable
Les analystes de Microsoft ont récemment observé une première attaque de Vanilla Tempest avec le ransomware INC dans le secteur de la santé américain. Lors de cette attaque, Vanilla Tempest a exploité le réseau d’un hôpital en utilisant Gootloader, un téléchargeur de malware. Les cybercriminels ont ensuite installé des outils malveillants comme Supper, ainsi que des logiciels légitimes tels qu’AnyDesk et MEGA pour surveiller et exfiltrer des données.
Une fois dans le système, les hackers ont utilisé le Remote Desktop Protocol (RDP) pour se déplacer latéralement à travers le réseau et déployer leur ransomware. Bien que Microsoft n’ait pas révélé le nom de la victime, ce type d’attaque fait écho à celle subie par le système hospitalier McLaren Health Care en août dernier, qui avait fortement perturbé ses services.
Qui est Vanilla Tempest ?
Connu initialement sous les noms de DEV-0832 et Vice Society, Vanilla Tempest est actif depuis juin 2021 et se spécialise dans les attaques contre des secteurs sensibles comme l’éducation, la santé, et l’informatique. Il a utilisé plusieurs souches de ransomwares au fil du temps, dont BlackCat, Quantum Locker, et Zeppelin. En août 2023, Vice Society a également été lié au groupe Rhysida, spécialisé dans les attaques contre les hôpitaux.
Cette évolution montre à quel point Vanilla Tempest est devenu un acteur de plus en plus dangereux pour les infrastructures critiques.
2 réflexions au sujet de “Vanilla Tempest : Une nouvelle menace pour le secteur de la santé avec le ransomware INC”