Un grupo de ciberdelincuencia conocido como Vice Sociedad se ha relacionado con múltiples cepas de ransomware en sus campañas maliciosas dirigidas a los sectores de educación, gobierno y comercio minorista.
El equipo de Microsoft Security Threat Intelligence, que está rastreando el grupo de amenazas bajo el nombre de DEV-0832, dijo que el grupo evita implementar ransomware en algunos casos y es muy probable que lleve a cabo extorsiones utilizando datos robados exfiltrados.
«Cambio de cargas útiles de ransomware a lo largo del tiempo desde BlackCat, Casillero cuánticoy zepelínla carga útil más reciente de DEV-0832 es una variante de Zeppelin que incluye extensiones de archivo específicas de Vice Society, como .v-s0ciety, .v-society y, más recientemente, .locked», la división de ciberseguridad del gigante tecnológico. dijo.
Vice Society, activa desde junio de 2021, ha sido constantemente observada cifrando y exfiltrando datos de víctimas, y amenazando a las empresas con exponer información desviada para presionarlas a pagar un rescate.
«A diferencia de otros grupos de doble extorsión RaaS (Ransomware-as-a-Service), Vice Society se enfoca en ingresar al sistema de la víctima para implementar los binarios de ransomware vendidos en los foros de Dark web», la empresa de ciberseguridad SEKOIA dijo en un análisis del grupo en julio de 2022.
Se sabe que el actor de amenazas motivado financieramente se basa en exploits para vulnerabilidades divulgadas públicamente en aplicaciones orientadas a Internet para el acceso inicial, mientras que también usa scripts de PowerShell, herramientas legítimas reutilizadas y puertas traseras de productos básicos como SystemBC antes de implementar el ransomware.
También se ha visto a los actores de Vice Society aprovechando Cobalt Strike para el movimiento lateral, además de crear tareas programadas para la persistencia y abusar de las vulnerabilidades en Windows Print Spooler (también conocido como PrintNightmare) y Common Log File System (CVE-2022-24521) para aumentar los privilegios.
«Los actores de Vice Society intentan evadir la detección enmascarando su malware y herramientas como archivos legítimos, usando la inyección de procesos y probablemente usando técnicas de evasión para derrotar el análisis dinámico automatizado», la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo el mes pasado.
En un incidente de julio de 2022 revelado por Microsoft, se dice que el actor de amenazas intentó implementar inicialmente los ejecutables de QuantumLocker, solo para seguirlo con los archivos binarios del ransomware Zeppelin sospechosos cinco horas después.
«Tal incidente podría sugerir que DEV-0832 mantiene múltiples cargas útiles de ransomware y cambia dependiendo de las defensas del objetivo o, alternativamente, que los operadores dispersos que trabajan bajo el paraguas de DEV-0832 podrían mantener sus propias cargas útiles de ransomware preferidas para la distribución», señaló Redmond.
Entre otras herramientas utilizadas por DEV-0832 se encuentra una puerta trasera basada en Go llamada PortStarter que ofrece la capacidad de modificar la configuración del firewall y abrir puertos para establecer conexiones con servidores de comando y control (C2) preconfigurados.
Vice Society, además de aprovechar los archivos binarios living-off-the-land (LOLBins) para ejecutar código malicioso, también ha intentado desactivar Microsoft Defender Antivirus mediante comandos de registro.
La exfiltración de datos finalmente se logra mediante el lanzamiento de un script de PowerShell que transmite información confidencial de gran alcance, que va desde documentos financieros hasta datos médicos, hasta una dirección IP codificada de propiedad del atacante.
Redmond señaló además que el grupo de delitos cibernéticos se enfoca en organizaciones con controles de seguridad más débiles y una mayor probabilidad de pago de rescate, lo que subraya la necesidad de aplicar las salvaguardias necesarias para prevenir este tipo de ataques.
«El cambio de una oferta de ransomware como servicio (RaaS) (BlackCat) a una oferta de malware de propiedad total comprada (Zeppelin) y una variante personalizada de Vice Society indica que DEV-0832 tiene vínculos activos en la economía cibercriminal y ha estado probando la carga útil del ransomware. eficacia o oportunidades de extorsión posteriores al ransomware», dijo Microsoft.