Вице-общество

Вице-общество
Формирование	2021
Тип	Взлом

Vice Society — хакерская группа, известная своими использованием программ-вымогателей на организации здравоохранения, образования и производства. атаками с ^{[ 1 ]} Группа возникла летом 2021 года и считается русскоязычной. ^{[ 2 ]}^{[ 3 ]} Vice Society использует двойное вымогательство и не использует программы-вымогатели в качестве модели обслуживания .

Они атаковали цели как в Европе, так и в Европе. ^{[ 4 ]}^{[ 5 ]} и США, включая крупный компромисс Объединенного школьного округа Лос-Анджелеса . ^{[ 6 ]}

Описание

Группа возникла летом 2021 года. ^{[ 7 ]} Он непропорционально сильно ударил по сектору образования. Исследование компании Palo Alto Networks, занимающейся кибербезопасностью , показало, что только в 2022 году Vice Society разместила на своем сайте утечки данных 33 школы. ^{[ 8 ]} Эксперты относят Vice Society к группе программ-вымогателей «второго или третьего уровня» с точки зрения сложности. Однако его многочисленные нападения на менее известные школы и региональные больницы позволили Vice Society остаться незамеченными. ^{[ 9 ]}

Vice Society занимается двойным вымогательством, крадя данные для использования в переговорах о выкупе. Они угрожают опубликовать украденные данные на специальных сайтах, если требования о выкупе не будут выполнены. Первоначальные требования о выкупе превысили 1 миллион долларов США, а окончательная согласованная сумма составила около 460 000 долларов США. ^{[ 10 ]} Известно, что группа ведет переговоры о выкупе от первоначальных многомиллионных требований. ^{[ 8 ]}

В отличие от многих групп, занимающихся вымогательством , Vice Society не использует программы-вымогатели в качестве модели обслуживания для аффилированных хакеров. Вместо этого группа осуществляет свои собственные вторжения и развертывания. Это позволяет Vice Society быстро перемещаться по целевым сетям, время задержки до обнаружения составляет всего 6 дней. ^{[ 8 ]}

Группа привлекла значительное внимание в конце 2022 — начале 2023 года из-за серии громких атак, в том числе одной, нацеленной на систему скоростного транспорта в Сан-Франциско. ^{[ 1 ]}

Тактика и приемы

По данным Агентства кибербезопасности и безопасности инфраструктуры США , Vice Society не разработала собственных инструментов для атак, вместо этого использует наборы инструментов-вымогателей Hello Kitty/Five Hands и Zeppelin . ^{[ 3 ]} Совсем недавно группа разработала собственный конструктор программ-вымогателей и внедрила более надежные методы шифрования . ^{[ 1 ]}

Злоумышленники Vice Society использовали такие уязвимости, как PrintNightmare (CVE-2021-1675, CVE-2021-34527), чтобы получить первоначальный доступ к целевым сетям. ^{[ 10 ]}

Группа в первую очередь получает первоначальный доступ к сети, используя интернет-приложения с помощью скомпрометированных учетных данных. Прежде чем внедрить программу-вымогатель, участники Vice Society тратят время на изучение сети, поиск возможностей для расширения доступа и кражи данных в целях двойного вымогательства. Для горизонтального движения они используют различные инструменты, такие как SystemBC, PowerShell Empire и Cobalt Strike . Более того, группа использует такие методы, как нацеливание на легитимную службу Windows Management Instrumentation и порчу общего контента. Также было замечено, что они использовали уязвимость PrintNightmare для повышения привилегий. Для обеспечения устойчивости Vice Society использует запланированные задачи, недокументированные ключи реестра автозапуска и неопубликованную загрузку DLL. Стремясь избежать обнаружения, злоумышленники маскируют свои вредоносные программы и инструменты под законные файлы, используют внедрение процессов и, вероятно, используют методы уклонения от автоматического динамического анализа. Кроме того, известно, что участники Vice Society повышают привилегии, получают доступ к учетным записям администраторов домена и меняют пароли сетевых учетных записей жертв, чтобы затруднить усилия по исправлению ситуации. ^{[ 7 ]}

Анализ тактики Vice Society показал использование таких инструментов, как Cobalt Strike и Mimikatz, для повышения привилегий и горизонтального перемещения внутри сети. Группа отключает антивирусное программное обеспечение и удаляет системные журналы, чтобы избежать обнаружения. Зашифрованные файлы добавляются с расширением « .v1cesO0ciety» , и отображается примечание о выкупе. ^{[ 11 ]}

Ссылки

^ Перейти обратно: ^а ^б ^с «Группа программ-вымогателей Vice Society атакует производственные компании» . Тренд Микро . 24 января 2023 г. Проверено 17 июля 2023 г.
^ Ньюман, Лили Хэй. «Как пороковому обществу сошёл с рук глобальный разгул программ-вымогателей» . Проводной . ISSN 1059-1028 . Проверено 22 октября 2022 г.
^ Перейти обратно: ^а ^б «Предупреждение (AA22-249A) #StopRansomware: порочное общество» . Агентство кибербезопасности и безопасности инфраструктуры . 8 сентября 2022 г. . Проверено 22 октября 2022 г.
^ «Интернет-шантажисты публикуют гигабайты конфиденциальных данных муниципалитета Ролле ВД» (на немецком языке) . Проверено 1 ноября 2021 г.
^ «Когда кибератака вырубает университет» (на немецком языке). Зеркало . Проверено 13 января 2022 г.
^ Гудинг, Мэтью (26 сентября 2022 г.). «Vice Society утверждает, что программа-вымогатель атаковала шесть британских школ, входящих в Scholars' Education Trust» . Технический монитор . Проверено 22 октября 2022 г.
^ Перейти обратно: ^а ^б «#StopRansomware: Пороковое общество | CISA» . www.cisa.gov . 08.09.2022 . Проверено 17 июля 2023 г.
^ Перейти обратно: ^а ^б ^с «Программы-вымогатели Vice Society — постоянная угроза» для сектора образования | TechTarget» . Безопасность . Проверено 1 августа 2023 г.
^ Ньюман, Лили Хэй. «Как пороковому обществу сошёл с рук глобальный разгул программ-вымогателей» . Проводной . ISSN 1059-1028 . Проверено 1 августа 2023 г.
^ Перейти обратно: ^а ^б Гумарин, младший (06 декабря 2022 г.). «Порок общества: описание постоянной угрозы сектору образования» . Блок 42 . Проверено 1 августа 2023 г.
^ «Группа программ-вымогателей Vice Society атакует производственные компании» . Тренд Микро . 24 января 2023 г. Проверено 1 августа 2023 г.

[:1-1] Перейти обратно: ^а ^б ^с «Группа программ-вымогателей Vice Society атакует производственные компании» . Тренд Микро . 24 января 2023 г. Проверено 17 июля 2023 г.

[2] Ньюман, Лили Хэй. «Как пороковому обществу сошёл с рук глобальный разгул программ-вымогателей» . Проводной . ISSN 1059-1028 . Проверено 22 октября 2022 г.

[CISA-3] Перейти обратно: ^а ^б «Предупреждение (AA22-249A) #StopRansomware: порочное общество» . Агентство кибербезопасности и безопасности инфраструктуры . 8 сентября 2022 г. . Проверено 22 октября 2022 г.

[4] «Интернет-шантажисты публикуют гигабайты конфиденциальных данных муниципалитета Ролле ВД» (на немецком языке) . Проверено 1 ноября 2021 г.

[5] «Когда кибератака вырубает университет» (на немецком языке). Зеркало . Проверено 13 января 2022 г.

[6] Гудинг, Мэтью (26 сентября 2022 г.). «Vice Society утверждает, что программа-вымогатель атаковала шесть британских школ, входящих в Scholars' Education Trust» . Технический монитор . Проверено 22 октября 2022 г.

[:0-7] Перейти обратно: ^а ^б «#StopRansomware: Пороковое общество | CISA» . www.cisa.gov . 08.09.2022 . Проверено 17 июля 2023 г.

[:3-8] Перейти обратно: ^а ^б ^с «Программы-вымогатели Vice Society — постоянная угроза» для сектора образования | TechTarget» . Безопасность . Проверено 1 августа 2023 г.

[9] Ньюман, Лили Хэй. «Как пороковому обществу сошёл с рук глобальный разгул программ-вымогателей» . Проводной . ISSN 1059-1028 . Проверено 1 августа 2023 г.

[:2-10] Перейти обратно: ^а ^б Гумарин, младший (06 декабря 2022 г.). «Порок общества: описание постоянной угрозы сектору образования» . Блок 42 . Проверено 1 августа 2023 г.

[11] «Группа программ-вымогателей Vice Society атакует производственные компании» . Тренд Микро . 24 января 2023 г. Проверено 1 августа 2023 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]