Vice Society è una gang ransomware che quest’anno è stata coinvolta in attività di alto profilo contro le scuole. A differenza di altri gruppi, come LockBit, che seguono un modello tipico di ransomware-as-a-service (RaaS), le attività di Vice Society non prevedono lo sviluppo di un payload personalizzato, ma si differenziano per l’utilizzo di fork di famiglie ransomware preesistenti commercializzati nel DarkWeb – che includono i ceppi HelloKitty (alias FiveHands) e Zeppelin.
Nel settembre 2022, un Cybersecurity Advisory (CSA) congiunto di FBI, CISA e MS-ISAC ha dichiarato di aver osservato che gli attori di Vice Society avevano preso di mira il settore dell’istruzione.
Vice Society è emerso per la prima volta nell’estate del 2021 e ha sfruttato la vulnerabilità CVE-2021-34527 (alias PrintNightmare) come parte della sua catena di attacchi. La gang è nota anche per aver preso di mira i backup ed esfiltrato dati dai sistemi compromessi per sfruttarli a scopo di doppia estorsione: una tattica in cui alle vittime viene richiesto di pagare un riscatto in cambio della decrittografia ed evitare che i dati sensibili vengano pubblicati sul sito dei cybercriminali.
Le vittime
Vice Society è nota per aver preso di mira il settore dell’istruzione, in particolare le istituzioni scolastiche e universitarie, ma anche la sanità e le organizzazioni non governative (ONG), oltre alle piccole e medie imprese, senza un’evidente focalizzazione geografica. Piuttosto, come si legge in un rapporto di SOCRadar, Vice Society si concentra su obiettivi di opportunità.
Per anni, settori come education e sanità hanno fatto fatica a combattere il ransomware e sono quindi diventate bersagli particolarmente attraenti. La mancanza di budget per sistemi e soluzioni di sicurezza all’avanguardia ha portato molte organizzazioni ad avvalersi di hardware legacy non patchati contro le vulnerabilità più recenti. A questo si aggiunge la difficoltà nel controllare e gestire un gran numero di dispositivi personali che introduce un rischio intrinseco perché interagiscono con i file personali tramite i servizi cloud.
Sebbene questi settori possano disporre di team IT dedicati che gestiscono soluzioni di sicurezza tradizionali, come i sistemi di rilevamento delle intrusioni (IDS) o di prevenzione delle intrusioni (IPS), gli attori delle minacce ransomware sfruttano tecniche che possono efficacemente evadere meccanismi di rilevamento tradizionali basati sulle firme, per le quali sarebbe invece necessaria una piattaforma di rilevamento e risposta estesa (XDR) per un monitoraggio comportamentale più robusto all’interno della rete.
Impatto geografico
Vice Society è principalmente opportunista e ha preso di mira organizzazioni di tutto il mondo. Il gruppo ha infettato aziende con sede in tutte le regioni, in particolare negli Stati Uniti, seguiti da Regno Unito, Spagna, Francia, Brasile, Germania e Italia.
Confronto delle metriche dei siti leak
In base all’analisi dei siti ransomware, Unit 42 ha identificato Vice Society come uno dei 10 più impattanti del 2022. Stimiamo che, da quando ha iniziato a operare nel 2021, Vice Society abbia colpito più di 100 organizzazioni e oltre 90 delle infezioni totali dei siti leak pubblicati si sono verificate solo nel 2022.
Tempo di permanenza
Nei casi di IR di Unit 42 riguardanti Vice Society, abbiamo osservato tempi di permanenza fino a sei giorni che rappresenta il tempo trascorso tra la data della compromissione iniziale e quella della scoperta.
Richieste di riscatto
Nel tracciare le operazioni dei gruppi ransomware, Unit 42 prende nota delle richieste di riscatto iniziali e finali avanzate da ciascun gruppo. Questo ci permette di capire meglio quanto siano aggressive e di avere una visione generale della velocità con cui un particolare attore potrebbe ridurre le proprie richieste dopo aver avviato le trattative.
Le nostre osservazioni sulle richieste di riscatto da parte di Vice Society nei casi di IR includono:
- Le richieste iniziali di questo attore potrebbero superare il milione di dollari.
- Le richieste finali dopo le trattative hanno raggiunto i 460.000 dollari.
- La differenza tra le richieste iniziali e quelle finali può essere significativa. Abbiamo riscontrato riduzioni fino al 60%.