Microsoft kompaniyasi Vanilla Tempest xakerlik guruhi AQShdagi sogʻliqni saqlash tashkilotlariga INC Ransom deb nomlangan yangi virusli dastur yordamida hujum qilayotganini ma’lum qildi.

INC Ransom “virusli dastur xizmati sifatida” (Ransomware-as-a-Service, RaaS) modeli doirasida ishlaydi va guruhning hamkorlari 2023-yil iyul oyidan beri davlat va xususiy kompaniyalarga hujum qilib kelmoqdalar. Ma’lum bo’lgan qurbonlar orasida Yamaha Motor Philippines, AQShdagi Xerox Business Solutions boʻlimi va Shotlandiya Milliy sogʻliqni saqlash xizmati (NHS) bor.

2024-yil may oyida “salfetka” taxallusi ostida bir nafar kiberjinoyatchi Exploit va XSS xakerlik forumlarida Windows va Linux/ESXi operatsion tizimlari uchun virusli dasturning manba kodini(source code) 300 000 dollarga sotuvga qoʻydi.

Microsoft analitiklari birinchi boʻlib Vanilla Tempestning AQSh sogʻliqni saqlash sektoriga INC Ransom yordamida hujum qilganini aniqladilar. Hujum paytida Vanilla Tempest Storm-0494 guruhi orqali tarmoqqa kirish imkoniyatiga ega boʻlib, u qurbonning tizimini Gootloader zararli dasturi bilan zararladilar. Ichkariga kirgach, xakerlar Supper backdoor ni oʻrnatdilar va AnyDesk masofadan turib monitoring qilish hamda MEGA maʼlumotlarini sinxronlashtirish uchun qonuniy vositalardan foydalandilar. Keyinchalik kiberjinoyatchilar virusli dasturni tarmoq boʻylab RDP (Remote Desktop Protocol) protokoli va Windows Management Instrumentation Provider Host boshqaruv vositalari yordamida tarqatdilar.

Microsoft zarar koʻrgan tashkilotning nomini aytmasa ham, shunga oʻxshash virusli dasturning avgust oyida Michigan shtatidagi McLaren Health Care shifoxonalariga qilingan kiberhujumda ishlatilgani ma’lum. Oʻshanda kiberhujum IT-tizimlar va telefon liniyalarining ishlamay qolishiga, shuningdek, bemorlar haqidagi maʼlumotlar bazasiga kirish imkoniyatining yoʻqolishiga olib kelgandi. Natijada tibbiy muassasa bir qator rejalashtirilgan qabullar va jarrohlik amalyotlarini kechiktirishga majbur boʻldi.

Vanilla Tempest 2021-yil iyun oyidan beri faol. Ilgari u DEV-0832 va Vice Society nomlari bilan tanilgan. Guruh koʻpincha taʼlim, sogʻliqni saqlash, IT va sanoat kabi sohalarga hujum qilib, BlackCat, Quantum Locker, Zeppelin va Rhysida kabi turli xil virusli dasturlardan foydalanadi. Oʻtgan yili CheckPoint tadqiqotchilari Vice Societyni tibbiy muassasalarga hujum qilishga ixtisoslashgan Rhysida bandasi bilan bogʻladilar.