Ransomware Baru Mengancam Sektor Kesehatan

Dalam peringatan yang dirilis baru-baru ini oleh Microsoft, aktor ancaman bermotif keuangan telah terdeteksi memanfaatkan ransomware jenis baru yang disebut INC Ransom untuk menargetkan sektor kesehatan di Amerika Serikat (AS). Serangan ini membawa perhatian lebih besar pada ancaman dunia maya yang terus meningkat, terutama di bidang layanan kesehatan yang menjadi sasaran empuk bagi kelompok kejahatan siber.

Vanilla Tempest: Aktor di Balik Serangan

Microsoft, melalui tim intelijen ancamannya, melacak aktor ancaman yang terlibat dengan nama Vanilla Tempest. Kelompok ini sebelumnya dikenal sebagai DEV-0832 dan juga sering disebut Vice Society. Sejak 2021, Vanilla Tempest telah membangun reputasi yang mengkhawatirkan dengan menargetkan sektor-sektor vital, termasuk pendidikan, perawatan kesehatan, teknologi informasi (TI), dan manufaktur. Mereka menggunakan berbagai jenis ransomware untuk melancarkan serangannya, di antaranya:

• Rhysida
• Zeppelin
• BlackCat
• Quantum Locker

Perusahaan keamanan siber CheckPoint juga mengonfirmasi bahwa kelompok ini terlibat dengan ransomware Rhysida. Lebih lanjut, CheckPoint mengungkapkan bahwa Vanilla Tempest telah melakukan serangan siber yang menargetkan sektor kesehatan dengan tujuan menjual data sensitif yang berhasil mereka curi. Salah satu contoh serangan ini adalah serangan yang ditujukan ke Rumah Sakit Anak Lurie di Chicago, di mana data pasien yang dicuri kemudian diperjualbelikan di pasar gelap.

Serangan yang Dijalankan dengan Ransomware yang Sudah Ada

Yang membedakan Vanilla Tempest dari kelompok lain adalah mereka tidak mengembangkan perangkat lunak berbahaya sendiri, melainkan menggunakan ransomware yang sudah ada dan dimodifikasi untuk melancarkan serangan. Hal ini menunjukkan bahwa mereka mengutamakan kecepatan dan kemudahan dalam mengeksekusi serangan daripada menghabiskan waktu untuk membuat versi ransomware yang unik.

Ransomware INC: Senjata Baru Vanilla Tempest

Ransomware INC yang diperingatkan oleh Microsoft merupakan salah satu jenis ransomware-as-a-service (RaaS), yang telah digunakan dalam operasi serangan terhadap berbagai organisasi sejak Juli 2023. Dalam serangkaian serangan yang teridentifikasi, ransomware ini menyasar beberapa target besar, termasuk:

• Yamaha Motor Filipina
• Layanan Kesehatan Nasional Skotlandia (NHS)
• Divisi Xerox Business Solutions (XBS) di Amerika Serikat

Ransomware INC pertama kali diketahui tersedia di pasar peretasan pada Mei 2024. Kode sumber untuk versi Windows dan Linux/ESXi dijual seharga $300.000 oleh aktor ancaman dengan nama "salfetka." Pengumuman penjualan ransomware ini dipublikasikan di dua forum peretasan terkenal, Exploit dan XSS, yang menegaskan bahwa ransomware ini menarik perhatian di kalangan penjahat siber.

Taktik dan Teknik Vanilla Tempest dalam Rantai Serangan

Menurut Microsoft, serangan terbaru yang menargetkan sektor kesehatan AS adalah pertama kalinya Vanilla Tempest menggunakan ransomware INC. Serangan ini dilakukan dengan bantuan aktor ancaman lain yang dikenal sebagai Storm-0494, yang menginfeksi sistem korban melalui GootLoader. Setelah infeksi awal, Vanilla Tempest mengambil alih dengan menggunakan beberapa alat, termasuk pintu belakang Supper dan alat pemantauan jarak jauh (RMM) AnyDesk yang sah.

Setelah mendapatkan akses awal, kelompok ini mulai bergerak lateral melalui jaringan korban menggunakan Remote Desktop Protocol (RDP). Selanjutnya, mereka menggunakan Windows Management Instrumentation (WMI) Provider Host untuk menyebarkan ransomware ke berbagai sistem di jaringan yang terinfeksi. Taktik seperti ini memungkinkan penyerang untuk bergerak bebas di dalam jaringan dan mengeksekusi ransomware tanpa terdeteksi.

Penghindaran Deteksi dan Ekstraksi Data

Selain menyebarkan ransomware, laporan menyebutkan bahwa kelompok Vanilla Tempest juga menggunakan alat seperti Azure Storage Explorer dan AzCopy untuk mengekstraksi data sensitif dari sistem yang mereka serang. Dengan memanfaatkan alat ini, mereka mencoba menghindari deteksi oleh sistem keamanan siber yang ada. Setelah data berhasil diekstraksi, mereka dapat menggunakan informasi tersebut untuk memeras korban atau menjualnya di pasar gelap.