Vice Society: analisi delle campagne ransomware
Topic
Approfondimenti
Trending
tutti

Vice Society: analisi delle campagne ransomware

Microsoft ha illustrato in dettaglio le tecniche e gli strumenti usati dal gruppo Vice Society durante i recenti attacchi ransomware.
Vice Society: analisi delle campagne ransomware
Sicurezza Antivirus Antivirus
Microsoft ha illustrato in dettaglio le tecniche e gli strumenti usati dal gruppo Vice Society durante i recenti attacchi ransomware.
Pixabay

Vice Society ha recentemente colpito il distretto scolastico di Los Angeles e il Comune di Palermo. Microsoft ha pubblicato un articolo che descrive in dettaglio le tattiche, tecniche e procedure utilizzate dai cybercriminali durante le ultime campagne ransomware. Per rilevare e bloccare gli attacchi è sufficiente l’uso di Defender Antivirus o altre soluzioni di sicurezza.

Proteggi tutti i dispositivi con Bitdefender Total Security

Ransomware, estorsione e furto di dati

Il gruppo Vice Society, indicato con DEV-0832 da Microsoft, riesce probabilmente ad entrare nella rete tramite credenziali di accesso di applicazioni web vulnerabili (non ci sono conferme sui metodi utilizzati). I cybercriminali usano diversi tipi di ransomware, tra cui BlackCat, QuantumLocker e Zeppelin. Per gli attacchi più recenti sono state utilizzate versioni modificate di Zeppelin e RedAlert. Il target principale è Windows, ma in alcuni casi sono stati colpiti anche i server Linux ESXi.

Le varie attività (raccolta informazioni, persistenza, aggiramento delle difese, esfiltrazione dei dati e distribuzione del ransomware) vengono eseguite con script PowerShell. Nell’arsenale digitale del gruppo ci sono anche tool specifici, come SystemBC (remote access trojan) e PortStarter (backdoor). I cybercriminali sfruttano inoltre alcuni tool legittimi, tra cui WMIC (Windows Management Instrumentation Command-line), Impacket WMIexec, vssadmin e PsExec. Quest’ultimo serve per lanciare gli script PowerShell da remoto e installare il ransomware.

Non manca ovviamente il furto delle credenziali del dominio e dell’amministratore locale per poter distribuire il ransomware attraverso la rete. In alcuni casi sono state sfruttate le vulnerabilità di Windows per ottenere privilegi elevati. Oltre che tramite script PowerShell, Vice Society usa i tool Rclone e MegaSync per esfiltrare i dati e inviarli al cloud storage.

Nella maggioranza degli attacchi, i cybercriminali cifrano i file e chiedono il pagamento di un riscatto. Qualche volta si limitano al furto dei dati e alla minaccia di pubblicarli online se non viene pagata la somma richiesta.

Fonte: Microsoft

Pubblicato il 28 ott 2022

Link copiato negli appunti

Ti potrebbe interessare

Comune di Palermo: attacco del gruppo Vice Society

Comune di Palermo: attacco del gruppo Vice Society
LAUSD: attacco ransomware alla scuola, il leak

LAUSD: attacco ransomware alla scuola, il leak
Los Angeles: attacco ransomware alla scuola

Los Angeles: attacco ransomware alla scuola
Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)

Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)
Comune di Palermo: attacco del gruppo Vice Society

Comune di Palermo: attacco del gruppo Vice Society
LAUSD: attacco ransomware alla scuola, il leak

LAUSD: attacco ransomware alla scuola, il leak
Los Angeles: attacco ransomware alla scuola

Los Angeles: attacco ransomware alla scuola
Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)

Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)
Luca Colantuoni
Pubblicato il
28 ott 2022
Link copiato negli appunti