Ransomware

Vice Society mit eigener Ransomware unterwegs

, Logpoint

Vice Society mit eigener Ransomware unterwegs

Von Alon Schwartz, Security Analyst bei Logpoint

Seit ihrer Entdeckung im Jahr 2021 macht die Ransomware-Gruppe Vice Society Schlagzeilen, weil sie immer wieder gezielte Angriffe auf das Bildungseinrichtungen und Krankenhäuser durchführt. Einrichtungen in den USA und Europa sind bereits unter den Opfern zu finden. Berichten zufolge nutzen die Cyberkriminellen in ihren Kampagnen die Sicherheitslücke PrintNightmare (CVE-2021-1675 und CVE-2021-34527) aus.

Alon Schwartz, Security Analyst bei Logpoint

Angeblich handelt es sich um eine russischsprachige Gruppe. Die Betreiber von Vice Society nutzen ein doppeltes Erpressungsschema , bei dem neue Opfer zu ihrer anonymisierten Leak-Site hinzugefügt und exfiltrierte Daten offengelegt werden. Sie bieten eine aktive Infrastruktur, um ihre illegalen Aktivitäten aufrechtzuerhalten. In den ersten Tagen wurde beobachtet, dass sie eine Reihe von Ransomware nutzen, die Schwachstellen wie PrintNightMare ausnutzen und LOLBINS wie WMI einsetzen, aber in ihrer jüngsten Kampagne setzten sie sogar eine eigene Malware-Variante ein. Die fremde Ransomware kann auf Dark Web Markets erworben werden, darunter HelloKitty/FiveHands, Zeppelin Ransomware und BlackCat. Anhand der in den hinterlassenen Erpresserbriefen verwendeten E-Mail-Adressen und der Ransomware-Analyse konnten Sicherheitsforscher die bei jedem Angriff verwendete Ransomware-Familie identifizieren.

Die folgenden fünf bewährten Verfahren unterstützen die Sicherheitsabteilungen der Organisationen, um das Risiko eines Ransomware Angriffs zu minimieren:

  1. Regelmäßige Backups: Sicherungskopien wichtiger Daten sind im Falle einer Datenverschlüsselung Gold wert, wenn sie sicher außerhalb des Netzes gespeichert werden.
  2. E-Mail-Sicherheit: E-Mail-Sicherheitsmaßnahmen wie Filter sollten implementiert werden, um verdächtige Anhänge und Links zu blockieren.
  3. Netzwerksegmentierung: Netzwerk gehören segmentiert, um im Falle eines Angriffs die Verbreitung von Malware einzuschränken.
  4. Anti-Malware-Lösungen: Anti-Malware-Lösungen sorgen für Echtzeit-Scans und regelmäßige Updates, um neue Ransomware-Bedrohungen zu erkennen und zu verhindern.
  5. Regelmäßige Tests: Die Sicherheitsmaßnahmen der Organisation und die Prozesse zur Reaktion auf Vorfälle sollten regelmäßig getestet werden, um sicherzustellen, dass die Security Analysten Ransomware-Angriffe wirksam erkennen und darauf reagieren können.

Wenn ein Angreifer jedoch bereits in ein Netzwerk eingedrungen ist, kann eine Kombination aus präzisen SIEM-Regeln und gut durchdachten SOAR-Playbooks Abhilfe schaffen.