Publicado:26 de janeiro de 2023 por Bill Cozens
Acredita-se que a Vice Society seja um grupo russo de intrusão, exfiltração e extorsão. E sua presa ideal? Você adivinhou: universidades, faculdades e escolas K-12. O Federal Bureau of Investigation (FBI) até lançou um comunicado conjunto sobre segurança cibernética (CSA) depois de observar que a Vice Society tem como alvo desproporcional o setor educacional.
Mas com o conhecimento vem o poder. Quanto mais o setor educacional souber sobre a Vice Society, mais preparados eles estarão para se defender contra eles.
Neste artigo, vamos armar você com cinco fatos sobre a Vice Society para que você possa obter vantagem contra essa ameaça persistente.
Se você é um leitor regular de nossa análise mensal sobre ransomware , sabe que o setor educacional recebeu muita atenção das gangues de ransomware no ano passado, para dizer o mínimo.
Não foi até a Vice Society, no entanto, que vimos uma gangue levando seu amor pelo setor a um nível totalmente novo.
Como muitas outras gangues de ransomware, a Vice Society é conhecida por roubar informações das redes das vítimas antes da criptografia para fins de dupla extorsão – ameaçando publicar os dados na dark web a menos que você pague o resgate exigido.
Algumas das instituições publicadas em seu site de vazamento no ano passado incluem De Montfort School, Cincinnati State, e uma que ganhou as manchetes nacionais em setembro: Los Angeles Unified, o segundo maior distrito escolar dos EUA.
Cerca de 40% das vítimas compartilhadas no site de vazamento da Vice Society são instituições educacionais, uma grande proporção em comparação com outras gangues.
Em janeiro de 2023, a Vice Society já havia publicado os dados de seis escolas em seu site de vazamento. Isso é mais do que qualquer outra gangue RaaS até agora este ano.
O site de vazamento da Vice Society
Os ataques Living Off The Land (LOTL) ocorrem quando os agentes de ameaças usam ferramentas legítimas para fins maliciosos, o que efetivamente permite que eles se escondam à vista de todos enquanto realizam o ataque.
Os atores da Vice Society utilizam uma dessas ferramentas legítimas, o Windows Management Instrumentation (WMI), como um meio de viver da terra para executar comandos maliciosos. O WMI permite que os administradores gerenciem e monitorem vários aspectos de um computador, como hardware e software, de um local remoto.
Veja onde estamos indo com isso?
A Vice Society e outros adversários podem usar o WMI para obter acesso a um sistema e, em seguida, executar códigos maliciosos, instalar malware ou roubar informações confidenciais.
Isso significa que você não será capaz de detectá-los usando mecanismos tradicionais de detecção baseados em assinaturas – valores de hash, IOCs e assinaturas não detectam ataques de vida fora da terra. Em vez disso, você precisará recorrer a uma Endpoint Protection Platform (EPP) que usa uma combinação de aprendizado de máquina, análise comportamental e sandbox.
Portanto, sabemos o que a Vice Society está fazendo quando está nas redes escolares e como detectá-lo. Mas como podemos impedi-los de entrar em primeiro lugar?
Usando uma combinação de dados da Unidade 42 e do Cybersecurity Advisory (CSA) postado no CISA.org, podemos pintar uma imagem muito boa de como a Vice Society está obtendo acesso inicial a seus alvos.
A Vice Society não está reinventando a roda: esses agentes de ameaças estão usando técnicas familiares, como phishing, credenciais comprometidas e explorações para estabelecer uma base nas redes das vítimas.
Três maneiras pelas quais a Vice Society é conhecida por obter acesso inicial (com IDs MITRE)
Nosso conselho é tão antigo quanto o tempo, mas sempre vale a pena reiterar:
Em primeiro lugar, o FBI recomenda nunca pagar o resgate aos invasores .
Há um bom argumento para não pagar também: isso incentiva mais ataques e não há garantia de que você recuperará seus dados de qualquer maneira. Afinal, não há honra entre ladrões.
Mas às vezes não pagar é mais fácil falar do que fazer. Pagar o resgate pode ser a única opção que resta para algumas organizações por vários motivos.
Uma nota de resgate da Vice Society.
Sabemos que a Vice Society não é a gangue mais agressiva quando se trata de seus pedidos de resgate. A diferença entre suas demandas iniciais e finais pode chegar a 60% após as negociações.
A Vice Society é atualmente a ameaça RaaS mais grave para o setor educacional. Ainda assim, dizer que os ataques de ransomware nas escolas são um problema da Vice Society é simplesmente perder a floresta para as árvores.
Não queremos dizer que lançar ransomware em escolas K-12, faculdades e universidades é tão fácil quanto tirar doce de um bebê, mas infelizmente é assim que muitas gangues RaaS o veem. A realidade é que os orçamentos apertados de muitas instituições educacionais as forçam a lutar com equipamentos desatualizados e equipe limitada, tornando-as um alvo fácil para os cibercriminosos.
Recomendamos que o setor educacional siga algumas práticas recomendadas para prevenir (e recuperar) ataques de ransomware de todos os ângulos. Isso inclui:
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…