Microsoft: zorginstellingen VS getroffen door aanvallen met INC-ransomware

Amerikaanse zorginstellingen zijn het doelwit van ransomwareaanvallen van de criminele groep Vanilla Tempest. De groepering gebruikt daarbij de ransomware as a service INC. Welke zorginstellingen getroffen zijn, is niet bekend.

Microsoft zegt op X dat Vanilla Tempest, een cybercriminele groep met financiële motieven, voor zijn aanvallen gebruikmaakt van toegang tot systemen die al door de criminele groepering Storm-0490 zijn gecompromitteerd. Eenmaal binnen zet Vanilla Tempest INC-ransomware in, die Linux/VMware ESXi-omgevingen en Windows-systemen kan infecteren.

De INC-ransomware is gemaakt door INC Ransom, een raas die al sinds juli 2023 wordt gebruikt bij aanvallen op publieke en private organisaties, zegt Bleeping Computer. In maart dit jaar zei INC Ransom bovendien dat het 3TB aan data had gestolen van de Schotse National Health Service. De groepering dreigde die data online te publiceren.

Vanilla Tempest is al sinds juni 2021 actief, al werd de groep eerder Vice Society genoemd. De organisatie heeft in de afgelopen jaren diverse ransomwaresoorten gebruikt bij zijn aanvallen, waaronder BlackCat, Quantum Locker, Zeppelin en Rhysida. Het is volgens Microsoft echter de eerste keer dat Vanilla Tempest de INC-ransomware inzet bij aanvallen op Amerikaanse zorginstellingen.

Reacties (25)

Juice2000 19 september 2024 11:36

"De INC-ransomware is gemaakt door INC Ransom, een raas die ..."

Ik denk dat "raas" een typfout is maar ik heb geen idee welk woord het dan wel zou moeten zijn...

SaraNostra @Juice2000 • 19 september 2024 11:43

Niet raas, maar RaaS (Ransomware as a Service).

Juice2000 @SaraNostra • 19 september 2024 14:11

Aaah, TIL. Dank!

wildhagen

Cybercrime
Ransomware
Beveiliging en antivirus

@Juice2000 • 19 september 2024 11:47

Ransomware, as a Service.

Dan kunnen klanten gewoon een kant en klare aanval uitvoeren vanaf een klaargezette omgeving.

Is voor hen makkelijker, omdat ze dan zelf geen moeite hoeven te doen, en er ook minder technische kennis voor nodig hebben.

Een RaaS dienst ontzorg zo dus hun klanten aanzienlijk.

Dan is het bij wijze van spreken gewoon één knop indrukken en de aanval wordt gestart.

[Reactie gewijzigd door wildhagen op 19 september 2024 11:48]

Roko @wildhagen • 19 september 2024 11:56

Als ze nou eens ook UaaS (Unlock as a Service) aanbieden, dan zou het een mooi kompleet plaatje zijn. Gemiste kans

[Reactie gewijzigd door Roko op 19 september 2024 11:58]

nehal3m @Roko • 19 september 2024 12:01

Ik neem aan dat dat bij het pakket zit, want als ransom crimineel moet je wel de reputatie hoog houden dat je unlockt als je slachtoffer betaalt, anders betalen ze niet.

Edgarz @Roko • 19 september 2024 12:21

Dat zit er ongetwijfeld bij: Als je betaald hebt .

Zackito @Juice2000 • 19 september 2024 11:38

Ransomware as a service

Dafader @Zackito • 19 september 2024 12:15

Ik dacht dat dit een grap was. Vandaag leerde ik het is een legit begrip.

space1000 19 september 2024 13:15

Ik snap dat criminelen geld willen verdienen, maar ik vind dit toch wel in het kopje "zware criminialiteit" vallen. Dit gaat niet om pakketjes die te laat geleverd worden of gegevens die buit gemaakt worden.

Wat mij betreft mogen ze hier wel een hufter aanpak op toepassen.

BRAINLESS01 @space1000 • 19 september 2024 13:58

Dan moet je ze wel eerst vinden en dan moeten die mensen toevallig ook in een land zijn dat reageert op een uitleververzoek. Er zijn zat landen waar Amerika weinig mee kan, zelfs als ze exact weten wie er achter de aanval zat.

themadone @BRAINLESS01 • 19 september 2024 14:25

Het wordt tijd dat we dat soort landen dan gewoon permanent de toegang tot het internet ontzeggen.

Dan moeten de hackers wel de grens over om hun "werk" te kunnen doen en dan kan je ze pakken ook.

En dan ga ik weer bergen -1 krijgen want dat kan je toch niet maken richting de bevolking etc etc. ik vind van wel, dan ruimt die bevolking zelf maar eens het gajes op. Aantoonbaar alles opgeruimd, zetten we de verbinding weer aan.

We hebben inmiddels een situatie waarin ruim 60% van alle email spam is, je geen update meer kan missen omdat er continue gescant wordt naar open poorten/vulnerabilities.

Als dit niet virtueel zou gebeuren zouden we het ook niet accepteren en actie ondernemen. We weten waar het vandaan komt in 90% van de gevallen, afsluiten die handel.

BRAINLESS01 @themadone • 19 september 2024 14:40

Probleem is: wie bepaalt dan wat er wel en niet mag? China heeft de grote firewall, alles wat China niet goedkeurt mag niet op internet. Sluiten we dan ook alle landen af die content hosten waar China het niet meer eens is? Er wordt ook digitaal oorlog gevoerd tussen Oekraïne en Rusland, sluiten we een van die twee dan af (daar hebben beiden last van), of zelfs beiden? En landen zijn het lang niet altijd eens over sancties, de halve wereld sluit Noord Korea uit behalve China. Als de halve wereld de kabels naar Noord Korea doorknipt, behalve China, wat gaan we dan doen? China ook afsluiten?

Ik ben met je eens dat er wel wat harder achteraan gezeten mag worden, maar in mijn beleving zijn het vooral landen die voor grote problemen zorgen. Het wordt lastig om die aan te pakken zonder er zelf last van te hebben, de wereld functioneert gewoon niet meer zonder internet.

Wouterie @themadone • 19 september 2024 15:42

Het wordt tijd dat we dat soort landen dan gewoon permanent de toegang tot het internet ontzeggen.

Tja, de vraag is natuurlijk wie is 'we' en wat zijn 'dat soort landen'? En wie bepaalt wat wel en niet crimineel is? Het internet is niet echt van iemand. We zouden in Nederland kunnen bepalen dat we al het verkeer van en naar bijvoorbeeld Rusland blokkeren, maar dat is redelijk eenvoudig te omzeilen. Al zou je een land weten te isoleren, dan pak je daar alsnog niet de cybercriminelen mee, want die zijn doorgaans juist handig genoeg om dat te omzeilen.
Volgende punt is dat je moet aantonen dat de criminelen überhaupt vanuit dat land opereren en beter nog: in opdracht van het regiem aldaar opereren. In tegenstelling tot PRISM is dat over het algemeen zeer moeilijk.
Leuk dat je spam aanhaalt. Wist je dat Nederland wereldwijd op de 5e plaats staat van landen waar spam vandaan komt? Afsluiten die handel.

themadone @Wouterie • 19 september 2024 16:17

Van mij zouden we tijdelijk afgesloten mogen worden als pressie middel om de spam hosters in Nederland aan te pakken. Want als er zo'n belang achter zou zitten worden die natuurlijk binnen een week opgerold. Denk dat er vrij snel een taskforce wordt opgericht die wat datacenters opruimt en dan kunnen we allemaal weer verder.

Mijn punt is een beetje dat als iedereen zich maar neer blijft leggen bij het feit dat het nu eenmaal zo is er ook nooit verbetering zal optreden.

Misschien een idee om dit bij de VN te beleggen. Er is natuurlijk gewoon een lijst aan te leggen met zaken die niet kunnen. Denk aan spam, ransomware, port scans etc etc. Is ook redelijk feitelijk toetsbaar wat mij betreft.

Voeg een waarschuwings systeem toe, eerste overtreding gaat je land natuurlijk niet offline en als je kan aantonen dat je de "hacker" hebt opgepakt/veroordeeld gaat iedereen weer normaal met zijn leven verder. Zo niet, kappen we de fiber.

Wouterie @themadone • 19 september 2024 20:40

Criminaliteit hoort er een beetje bij. Bij digitale oorlogsvoering is het ook een beetje het spel om ermee weg te komen en ze proberen te pakken. PRISM liet zien dat de VS wellicht nog wel de ergste is op dit gebied, dus elk voorstel wat je bij de VN ter tafel zou brengen wordt zo van tafel geveegd.
Verder is het een eeuwige discussie of je een aanvallende of verdedigende partij bent. In een fysieke oorlog is dat al lastig (mag Oekraïne nog spreken van verdediging als ze doelen in Rusland aanvallen?) het is natuurlijk maar net hoe het uitkomt, op digitaal vlak is dat al helemaal niet uit te vogelen.

telenut @themadone • 19 september 2024 17:12

Ze gebruiken virtuele servers in datacentra van andere landen... heel het land internet ontzeggen heeft dus weinig zin

themadone @telenut • 19 september 2024 17:29

Hoe kom je uit midden Rusland bij je server in Nederland als je geen internet hebt dan?

bussie66 @space1000 • 19 september 2024 16:54

Geen zware criminaliteit, maar terrorisme.

Wouterie @bussie66 • 19 september 2024 20:43

Terrorisme heeft een ander ideaal en doelstelling dan criminaliteit. Als je kunt aantonen dat de zorginstellingen doelbewust zijn aangevallen om de zorg plat te leggen en de maatschappij te ontwrichten, dan maak je een kans. Aangezien MS en de overheden spreken over 'geld verdienen' als motivatie kun je eigenlijk terrorisme uitsluiten.

freaky 19 september 2024 12:19

Linux/VMware ESXi-omgevingen en Windows-systemen

Is die volgorde toevallig alfabetisch?

RCBL 19 september 2024 12:05

Wat voor baat zouden de Russen/Noord-Koreanen, China hebben bij aanvallen op de zorginstellingen in de VS.. /s

LeonM @RCBL • 19 september 2024 12:08

Veel slechter kan het toch al niet worden: https://www.theguardian.c...-health-system-ranks-last

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (25)

Sorteer op:

Weergave: