Vice Society: analisi delle campagne ransomware

Vice Society: analisi delle campagne ransomware

Microsoft ha illustrato in dettaglio le tecniche e gli strumenti usati dal gruppo Vice Society durante i recenti attacchi ransomware.
Microsoft ha illustrato in dettaglio le tecniche e gli strumenti usati dal gruppo Vice Society durante i recenti attacchi ransomware.

Vice Society ha recentemente colpito il distretto scolastico di Los Angeles e il Comune di Palermo. Microsoft ha pubblicato un articolo che descrive in dettaglio le tattiche, tecniche e procedure utilizzate dai cybercriminali durante le ultime campagne ransomware. Per rilevare e bloccare gli attacchi è sufficiente l’uso di Defender Antivirus o altre soluzioni di sicurezza.

Ransomware, estorsione e furto di dati

Il gruppo Vice Society, indicato con DEV-0832 da Microsoft, riesce probabilmente ad entrare nella rete tramite credenziali di accesso di applicazioni web vulnerabili (non ci sono conferme sui metodi utilizzati). I cybercriminali usano diversi tipi di ransomware, tra cui BlackCat, QuantumLocker e Zeppelin. Per gli attacchi più recenti sono state utilizzate versioni modificate di Zeppelin e RedAlert. Il target principale è Windows, ma in alcuni casi sono stati colpiti anche i server Linux ESXi.

Le varie attività (raccolta informazioni, persistenza, aggiramento delle difese, esfiltrazione dei dati e distribuzione del ransomware) vengono eseguite con script PowerShell. Nell’arsenale digitale del gruppo ci sono anche tool specifici, come SystemBC (remote access trojan) e PortStarter (backdoor). I cybercriminali sfruttano inoltre alcuni tool legittimi, tra cui WMIC (Windows Management Instrumentation Command-line), Impacket WMIexec, vssadmin e PsExec. Quest’ultimo serve per lanciare gli script PowerShell da remoto e installare il ransomware.

Non manca ovviamente il furto delle credenziali del dominio e dell’amministratore locale per poter distribuire il ransomware attraverso la rete. In alcuni casi sono state sfruttate le vulnerabilità di Windows per ottenere privilegi elevati. Oltre che tramite script PowerShell, Vice Society usa i tool Rclone e MegaSync per esfiltrare i dati e inviarli al cloud storage.

Nella maggioranza degli attacchi, i cybercriminali cifrano i file e chiedono il pagamento di un riscatto. Qualche volta si limitano al furto dei dati e alla minaccia di pubblicarli online se non viene pagata la somma richiesta.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 28 ott 2022
Link copiato negli appunti