Eine Cybercrime-Gruppe namens Vice Society wurde mit mehreren Ransomware-Stämmen in Verbindung gebracht, die auf den Bildungs-, Regierungs- und Einzelhandelssektor abzielen.
Das Microsoft Security Threat Intelligence Team, das den Bedrohungscluster unter dem Namen DEV-0832 verfolgt, sagte, dass die Gruppe in einigen Fällen keine Ransomware einsetzt, sondern eher Erpressungen mit gestohlenen Daten durchführt.
„DEV-0832s neueste Nutzlast ist eine Zeppelin-Variante, die Vice Society-spezifische Dateierweiterungen wie .v-s0ciety, .v-society und seit kurzem auch .locked enthält“, so die Cybersecurity-Abteilung des Tech-Riesen.
Vice Society, die seit Juni 2021 aktiv ist, verschlüsselt und verschleppt ständig Daten von Opfern und bedroht Unternehmen mit der Preisgabe der abgegriffenen Informationen, um sie zur Zahlung eines Lösegelds zu zwingen.
„Im Gegensatz zu anderen RaaS (Ransomware-as-a-Service)-Erpressergruppen konzentriert sich Vice Society darauf, in das System des Opfers einzudringen, um Ransomware-Binaries zu installieren, die in Dark-Web-Foren verkauft werden“, so das Cybersecurity-Unternehmen SEKOIA in einer Analyse der Gruppe im Juli 2022.
Die finanziell motivierten Bedrohungsakteure nutzen bekanntermaßen Exploits für öffentlich bekannt gewordene Schwachstellen in Internetanwendungen, um sich einen ersten Zugang zu verschaffen, und verwenden PowerShell-Skripte, wiederverwendete legitime Tools und Standard-Backdoors wie SystemBC, bevor sie die Ransomware einsetzen.
Vice Society-Akteure wurden auch dabei gesichtet, wie sie Cobalt Strike für laterale Bewegungen nutzten, geplante Aufgaben für die Persistenz erstellten und Schwachstellen in Windows Print Spooler (auch bekannt als PrintNightmare) und Common Log File System (CVE-2022-24521) missbrauchten, um ihre Privilegien zu erweitern.
Vice Society“-Akteure versuchen, sich der Entdeckung zu entziehen, indem sie ihre Malware und Tools als legitime Dateien tarnen, Prozessinjektion verwenden und wahrscheinlich Umgehungstechniken einsetzen, um die automatisierte dynamische Analyse zu umgehen“, erklärte die U.S. Cybersecurity and Infrastructure Security Agency (CISA) letzten Monat.
In einem von Microsoft bekannt gegebenen Vorfall vom Juli 2022 soll der Bedrohungsakteur zunächst versucht haben, ausführbare Dateien von QuantumLocker zu verbreiten, um dann fünf Stunden später mutmaßliche Ransomware-Binärdateien von Zeppelin nachzuschicken.
„Ein solcher Vorfall könnte darauf hindeuten, dass DEV-0832 mehrere Ransomware-Nutzlasten unterhält und je nach Abwehrmaßnahmen des Ziels wechselt, oder dass verstreute Betreiber, die unter dem Dach von DEV-0832 arbeiten, ihre eigenen bevorzugten Ransomware-Nutzlasten für die Verbreitung unterhalten“, so Redmond.
DEV-0832 nutzt unter anderem eine Go-basierte Backdoor namens PortStarter, die es ermöglicht, Firewall-Einstellungen zu ändern und Ports zu öffnen, um Verbindungen zu vorkonfigurierten Command-and-Control (C2)-Servern herzustellen.
Vice Society nutzt nicht nur LOLBins (living-off-the-land binaries), um bösartigen Code auszuführen, sondern hat auch versucht, Microsoft Defender Antivirus mit Hilfe von Registrierungsbefehlen zu deaktivieren.
Die Datenexfiltration erfolgt schließlich durch den Start eines PowerShell-Skripts, das eine Vielzahl sensibler Informationen – von Finanzdokumenten bis hin zu medizinischen Daten – an eine fest kodierte IP-Adresse im Besitz des Angreifers überträgt.
Redmond wies außerdem darauf hin, dass sich die Cyberkriminellen auf Unternehmen mit schwächeren Sicherheitskontrollen und einer höheren Wahrscheinlichkeit einer Lösegeldzahlung konzentrieren, was die Notwendigkeit unterstreicht, die notwendigen Sicherheitsvorkehrungen zu treffen, um solche Angriffe zu verhindern.
„Der Wechsel von einem Ransomware-as-a-Service (RaaS)-Angebot (BlackCat) zu einem gekauften, eigenen Malware-Angebot (Zeppelin) und einer benutzerdefinierten Vice Society-Variante deutet darauf hin, dass DEV-0832 aktive Verbindungen in die cyberkriminelle Wirtschaft unterhält und die Wirksamkeit der Ransomware-Nutzlast oder Erpressungsmöglichkeiten nach der Ransomware getestet hat“, so Microsoft.