Un grupo de ciberdelincuencia conocido como Vice Sociedad<\/strong> se ha relacionado con m\u00faltiples cepas de ransomware en sus campa\u00f1as maliciosas dirigidas a los sectores de educaci\u00f3n, gobierno y comercio minorista.<\/p>\n El equipo de Microsoft Security Threat Intelligence, que est\u00e1 rastreando el grupo de amenazas bajo el nombre de DEV-0832, dijo que el grupo evita implementar ransomware en algunos casos y es muy probable que lleve a cabo extorsiones utilizando datos robados exfiltrados.<\/p>\n “Cambio de cargas \u00fatiles de ransomware a lo largo del tiempo desde BlackCat, Casillero cu\u00e1ntico<\/a>y zepel\u00edn<\/a>la carga \u00fatil m\u00e1s reciente de DEV-0832 es una variante de Zeppelin que incluye extensiones de archivo espec\u00edficas de Vice Society, como .v-s0ciety, .v-society y, m\u00e1s recientemente, .locked”, la divisi\u00f3n de ciberseguridad del gigante tecnol\u00f3gico. dijo<\/a>.<\/p>\n Vice Society, activa desde junio de 2021, ha sido constantemente observada cifrando y exfiltrando datos de v\u00edctimas, y amenazando a las empresas con exponer informaci\u00f3n desviada para presionarlas a pagar un rescate.<\/p>\n “A diferencia de otros grupos de doble extorsi\u00f3n RaaS (Ransomware-as-a-Service), Vice Society se enfoca en ingresar al sistema de la v\u00edctima para implementar los binarios de ransomware vendidos en los foros de Dark web”, la empresa de ciberseguridad SEKOIA dijo<\/a> en un an\u00e1lisis del grupo en julio de 2022.<\/p>\n Se sabe que el actor de amenazas motivado financieramente se basa en exploits para vulnerabilidades divulgadas p\u00fablicamente en aplicaciones orientadas a Internet para el acceso inicial, mientras que tambi\u00e9n usa scripts de PowerShell, herramientas leg\u00edtimas reutilizadas y puertas traseras de productos b\u00e1sicos como SystemBC antes de implementar el ransomware.<\/p>\n Tambi\u00e9n se ha visto a los actores de Vice Society aprovechando Cobalt Strike para el movimiento lateral, adem\u00e1s de crear tareas programadas para la persistencia y abusar de las vulnerabilidades en Windows Print Spooler (tambi\u00e9n conocido como PrintNightmare) y Common Log File System (CVE-2022-24521) para aumentar los privilegios.<\/p>\n “Los actores de Vice Society intentan evadir la detecci\u00f3n enmascarando su malware y herramientas como archivos leg\u00edtimos, usando la inyecci\u00f3n de procesos y probablemente usando t\u00e9cnicas de evasi\u00f3n para derrotar el an\u00e1lisis din\u00e1mico automatizado”, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo<\/a> el mes pasado.<\/p>\n En un incidente de julio de 2022 revelado por Microsoft, se dice que el actor de amenazas intent\u00f3 implementar inicialmente los ejecutables de QuantumLocker, solo para seguirlo con los archivos binarios del ransomware Zeppelin sospechosos cinco horas despu\u00e9s.<\/p>\n “Tal incidente podr\u00eda sugerir que DEV-0832 mantiene m\u00faltiples cargas \u00fatiles de ransomware y cambia dependiendo de las defensas del objetivo o, alternativamente, que los operadores dispersos que trabajan bajo el paraguas de DEV-0832 podr\u00edan mantener sus propias cargas \u00fatiles de ransomware preferidas para la distribuci\u00f3n”, se\u00f1al\u00f3 Redmond.<\/p>\n Entre otras herramientas utilizadas por DEV-0832 se encuentra una puerta trasera basada en Go llamada PortStarter que ofrece la capacidad de modificar la configuraci\u00f3n del firewall y abrir puertos para establecer conexiones con servidores de comando y control (C2) preconfigurados.<\/p>\n Vice Society, adem\u00e1s de aprovechar los archivos binarios living-off-the-land (LOLBins) para ejecutar c\u00f3digo malicioso, tambi\u00e9n ha intentado desactivar Microsoft Defender Antivirus mediante comandos de registro.<\/p>\n La exfiltraci\u00f3n de datos finalmente se logra mediante el lanzamiento de un script de PowerShell que transmite informaci\u00f3n confidencial de gran alcance, que va desde documentos financieros hasta datos m\u00e9dicos, hasta una direcci\u00f3n IP codificada de propiedad del atacante.<\/p>\n Redmond se\u00f1al\u00f3 adem\u00e1s que el grupo de delitos cibern\u00e9ticos se enfoca en organizaciones con controles de seguridad m\u00e1s d\u00e9biles y una mayor probabilidad de pago de rescate, lo que subraya la necesidad de aplicar las salvaguardias necesarias<\/a> para prevenir este tipo de ataques.<\/p>\n “El cambio de una oferta de ransomware como servicio (RaaS) (BlackCat) a una oferta de malware de propiedad total comprada (Zeppelin) y una variante personalizada de Vice Society indica que DEV-0832 tiene v\u00ednculos activos en la econom\u00eda cibercriminal y ha estado probando la carga \u00fatil del ransomware. eficacia o oportunidades de extorsi\u00f3n posteriores al ransomware”, dijo Microsoft.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1666775599_357_Los-piratas-informaticos-de-Vice-Society-estan-detras-de-varios.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Apple-lanza-un-parche-para-la-nueva-vulnerabilidad-de-dia.png\")
<\/a><\/div>\n