Vice Society黑客是几个针对教育部门的勒索软件攻击的幕后黑手

一个名为”Vice Society”的网络犯罪集团在其针对教育、政府和零售部门的恶意运动中与多个赎金菌株联系在一起。

正在追踪名为DEV – 0832的威胁集群的微软安全威胁情报小组说，该小组在某些情况下避免部署赎金， 而且很可能利用被窃取的数据进行勒索。

这家科技巨头的网络安全部门说，”随着时间的推移，从BlackCat、Quantum Locker和策佩林中转移赎金有效载荷，DEV – 0832的最新有效载荷是策佩林的变种，其中包括Vice Society特定的文件扩展名，如. v -Society、. v -Society和最近的. lock。

自2021年6月以来，Vice协会一直在稳步观察加密和渗透受害者数据，并威胁那些被虹吸信息曝光的公司，迫使他们支付赎金。

网络安全公司SEKOIA在2022年7月对该组织的分析中说，与其他RaaS ( Ransomware-as-a- Service )双重勒索团体不同，Vice Society专注于进入受害者系统，部署在黑暗网络论坛上销售的勒索软件二进制文件。

据了解，有经济动机的威胁行为者在部署赎金之前，依靠公开披露的互联网应用程序中公开披露的漏洞进行初步访问，同时还使用PowerShell脚本、重新使用的合法工具以及诸如SystemBC等商品后门。

此外，还发现了副社会行为者在Windows打印Spooler ( aka PrintNightmare )和通用日志文件系统( CVE – 2022 – 24521)中创建了持久化和滥用漏洞的计划任务，以提高特权。

美国网络安全和基础设施安全局( CISA )上月表示，”副社会行为者试图通过伪装他们的恶意软件和工具作为合法文件来逃避检测，使用进程注入，并可能使用逃避技术来挫败自动化动态分析”。

在微软披露的2022年7月的一起事件中，威胁行为体据称曾试图初步部署QuantumLocker可执行文件，但5小时后才跟进疑似策佩林勒索软件二进制文件。

雷德蒙指出：”这种事件可能表明，DEV – 0832根据目标防御系统维持多个赎金有效载荷和开关，或者，在DEV – 0832伞下工作的分散操作员可能会维持自己喜欢的赎金有效载荷。

在DEV – 0832使用的其他工具中，有一个名为PortStarter的基于Go的后门，它提供了更改防火墙设置和打开端口的能力，以便与预先配置的命令和控制( C2 )服务器建立连接。

  Vice Society除了利用live – off – the – land二进制文件( LOLBins )运行恶意代码外，还发现有人试图使用注册表命令关闭Microsoft Defender Antivirus。

通过启动PowerShell脚本，将广泛的敏感信息(从金融文档到医疗数据)传输到硬编码的攻击者拥有的IP地址，最终实现了数据外泄。

雷德蒙进一步指出，网络犯罪集团关注的是安全控制较弱、勒索赎金可能性较高的组织，强调需要适用必要的保障措施来防止此类攻击。

微软表示，从提供勒索软件即服务( RaaS ) ( BlackCat )到购买全资恶意软件(策佩林)以及自定义Vice Society变种的转变，表明DEV – 0832在网络犯罪经济中有着积极的联系，并一直在测试勒索软件的有效载荷效能或勒索后勒索机会。