Ransomware : feu-Vice Society s'attaque à la santé avec INC

Microsoft Threat Intelligence a détaillé ses découvertes sur Vanilla Tempest, connu pour avoir précédemment animé l'enseigne Vice Society, dans une série de publications sur X (anciennement Twitter) le 18 septembre, notant que c'était la première fois que Vanilla Tempest utilisait le ransomware INC pour viser le secteur de la santé.

Le ransomware INC est apparu en juillet 2023 en tant qu'enseigne de cyber-extorsion. A date, on lui connaît un petit plus de 170 victimes revendiquées publiquement. 

Selon Microsoft, Vanilla Tempest se voit fournir des accès initiaux, à partir d'infections par Gootloader, par l'acteur malveillant référencé Storm-0494, puis déploie des outils tels que la porte dérobée Supper, l'outil de synchronisation de données MEGA et l'outil de supervision à distance légitime AnyDesk.

Vanilla Tempest est actif depuis au moins juin 2021 et est connu pour viser le secteur de l'éducation. L'acteur malveillant s'est depuis diversifié pour frapper les secteurs de la santé, de la manufacture et des technologies de l'information avec des charges utiles telles que BlackCat, Rhysida et Quantum Locker.

L'ascension de Vanilla Tempest, en particulier avec ses dernières attaques avec le ransomware INC, marque une continuation de la vulnérabilité croissante du secteur de la santé face aux opérations de ransomware-as-a-service », estime Patrick Tiquet, vice-président de la sécurité et de l'architecture chez Keeper Security.

« Bien que les tactiques utilisées - comme les déplacements latéraux par RDP et le déploiement d'outils légitimes tels que AnyDesk - ne soient pas révolutionnaires, ce qui ressort, c'est la focalisation persistante sur le secteur de la santé. Les acteurs malveillants comme ALPHV/BlackCat exploitent depuis longtemps les infrastructures vieillissantes du secteur et sa dépendance critique aux données sensibles, et Vanilla Tempest suit la même voie avec des variantes de ransomware similaires, mais diversifiées ».

Aucune victime en France n'a, à ce jour, été revendiquée sous la bannière d'INC Ransom. Plusieurs l'ont en revanche antérieurement étées sous les couleurs de Vice Society. Cela vaut ainsi notamment pour l’hôpital Pierre Rouquès – Les Bluets, début octobre 2022, mais également l'’hôpital de Castelluccio en mars 2022, et le centre hospitalier d’Arles à l’été 2021.