5 fatos sobre a Vice Society, o grupo de ransomware que está causando estragos no setor educacional
Há um novo player de ransomware como serviço (RaaS) na cidade atacando o setor educacional – e seu nome é Vice Society.
Publicado:26 de janeiro de 2023 por Bill Cozens
Acredita-se que a Vice Society seja um grupo russo de intrusão, exfiltração e extorsão. E sua presa ideal? Você adivinhou: universidades, faculdades e escolas K-12. O Federal Bureau of Investigation (FBI) até lançou um comunicado conjunto sobre segurança cibernética (CSA) depois de observar que a Vice Society tem como alvo desproporcional o setor educacional.
Mas com o conhecimento vem o poder. Quanto mais o setor educacional souber sobre a Vice Society, mais preparados eles estarão para se defender contra eles.
Neste artigo, vamos armar você com cinco fatos sobre a Vice Society para que você possa obter vantagem contra essa ameaça persistente.
1. Em 2022 eles foram de longe os maiores atacantes do setor educacional
Se você é um leitor regular de nossa análise mensal sobre ransomware , sabe que o setor educacional recebeu muita atenção das gangues de ransomware no ano passado, para dizer o mínimo.
Não foi até a Vice Society, no entanto, que vimos uma gangue levando seu amor pelo setor a um nível totalmente novo.
Como muitas outras gangues de ransomware, a Vice Society é conhecida por roubar informações das redes das vítimas antes da criptografia para fins de dupla extorsão – ameaçando publicar os dados na dark web a menos que você pague o resgate exigido.
Algumas das instituições publicadas em seu site de vazamento no ano passado incluem De Montfort School, Cincinnati State, e uma que ganhou as manchetes nacionais em setembro: Los Angeles Unified, o segundo maior distrito escolar dos EUA.
Cerca de 40% das vítimas compartilhadas no site de vazamento da Vice Society são instituições educacionais, uma grande proporção em comparação com outras gangues.
2. E eles não mostraram sinais de desaceleração em 2023
Em janeiro de 2023, a Vice Society já havia publicado os dados de seis escolas em seu site de vazamento. Isso é mais do que qualquer outra gangue RaaS até agora este ano.
O site de vazamento da Vice Society
3. Eles aproveitam as técnicas de vida da terra para escapar da detecção
Os ataques Living Off The Land (LOTL) ocorrem quando os agentes de ameaças usam ferramentas legítimas para fins maliciosos, o que efetivamente permite que eles se escondam à vista de todos enquanto realizam o ataque.
Os atores da Vice Society utilizam uma dessas ferramentas legítimas, o Windows Management Instrumentation (WMI), como um meio de viver da terra para executar comandos maliciosos. O WMI permite que os administradores gerenciem e monitorem vários aspectos de um computador, como hardware e software, de um local remoto.
Veja onde estamos indo com isso?
A Vice Society e outros adversários podem usar o WMI para obter acesso a um sistema e, em seguida, executar códigos maliciosos, instalar malware ou roubar informações confidenciais.
Isso significa que você não será capaz de detectá-los usando mecanismos tradicionais de detecção baseados em assinaturas – valores de hash, IOCs e assinaturas não detectam ataques de vida fora da terra. Em vez disso, você precisará recorrer a uma Endpoint Protection Platform (EPP) que usa uma combinação de aprendizado de máquina, análise comportamental e sandbox.
4. Sabemos como eles obtêm acesso inicial às redes
Portanto, sabemos o que a Vice Society está fazendo quando está nas redes escolares e como detectá-lo. Mas como podemos impedi-los de entrar em primeiro lugar?
Usando uma combinação de dados da Unidade 42 e do Cybersecurity Advisory (CSA) postado no CISA.org, podemos pintar uma imagem muito boa de como a Vice Society está obtendo acesso inicial a seus alvos.
A Vice Society não está reinventando a roda: esses agentes de ameaças estão usando técnicas familiares, como phishing, credenciais comprometidas e explorações para estabelecer uma base nas redes das vítimas.
Três maneiras pelas quais a Vice Society é conhecida por obter acesso inicial (com IDs MITRE)
Nosso conselho é tão antigo quanto o tempo, mas sempre vale a pena reiterar:
- Enfrente o phishing com treinamento de funcionários, proteção baseada na Web e filtragem de DNS
- Resolva contas comprometidas removendo contas inativas, aplicando o princípio do menor privilégio e tendo políticas de senha rígidas.
- Corrija as explorações mantendo avaliações e correções regulares de vulnerabilidades , de preferência usando uma ferramenta automatizada.
5. Parece que eles estão abertos a negociar seus resgates iniciais
Em primeiro lugar, o FBI recomenda nunca pagar o resgate aos invasores .
Há um bom argumento para não pagar também: isso incentiva mais ataques e não há garantia de que você recuperará seus dados de qualquer maneira. Afinal, não há honra entre ladrões.
Mas às vezes não pagar é mais fácil falar do que fazer. Pagar o resgate pode ser a única opção que resta para algumas organizações por vários motivos.
Uma nota de resgate da Vice Society.
Sabemos que a Vice Society não é a gangue mais agressiva quando se trata de seus pedidos de resgate. A diferença entre suas demandas iniciais e finais pode chegar a 60% após as negociações.
Obtendo vantagem contra gangues RaaS
A Vice Society é atualmente a ameaça RaaS mais grave para o setor educacional. Ainda assim, dizer que os ataques de ransomware nas escolas são um problema da Vice Society é simplesmente perder a floresta para as árvores.
Não queremos dizer que lançar ransomware em escolas K-12, faculdades e universidades é tão fácil quanto tirar doce de um bebê, mas infelizmente é assim que muitas gangues RaaS o veem. A realidade é que os orçamentos apertados de muitas instituições educacionais as forçam a lutar com equipamentos desatualizados e equipe limitada, tornando-as um alvo fácil para os cibercriminosos.
Recomendamos que o setor educacional siga algumas práticas recomendadas para prevenir (e recuperar) ataques de ransomware de todos os ângulos. Isso inclui:
- Faça um plano de emergência mais cedo ou mais tarde.
- Endpoint Protection que usa uma abordagem em camadas com detecção multivetorial e técnicas de prevenção para interromper o ransomware desde o início.
- Opções de reversão de ransomware que devem armazenar alterações em arquivos de dados no sistema em um cache local por 72 horas (nenhum ransomware realmente excede 24 horas), que podem ser usadas para ajudar a reverter alterações causadas por ransomware.
