Ransonware pelo Mundo
Vice Society: Conheça o grupo ransomware de dupla extorsão
Brasiline
11 de julho de 2022

O que é a Vice-Society?

A Vice Society é um grupo de dupla extorsão pouco conhecido que se juntou ao ecossistema do cibercrime há um ano. Desde então, mostrou uma atividade constante, criptografando e exfiltrando os dados de suas vítimas e ameaçando a vazar suas informações para pressioná-las a pagar um resgate.

Ao contrário de outros grupos de dupla extorsão RaaS (Ransomware-as-a-Service), a Vice Society se concentra em entrar no sistema da vítima para implantar binários de ransomware vendidos em fóruns da Dark web. Essa é provavelmente uma maneira desse grupo economizar recursos no desenvolvimento de seu próprio ransomware.

As investigações da SEKOIA.IO mostram que eles estão atualmente aproveitando o ransomware Zeppelin direcionado a sistemas Windows.

Análise

O grupo Vice Society visa principalmente empresas de pequeno ou médio porte em campanhas de dupla extorsão operadas por humanos.

Desde o seu lançamento e até meados de junho de 2022, o grupo reivindicou campanhas visando pelo menos 88 vítimas, todas ainda listadas em seu site dedicado de vazamento de dados (DLS).

Esse grupo visa notavelmente distritos escolares públicos e outras instituições acadêmicas, pois 26,1% das vítimas listadas em seu site de vazamento de dados são entidades relacionadas à educação. O grupo também mostra um forte foco no setor de saúde.

Quando perguntado pela BleepingComputer por que visa organizações de saúde, o grupo respondeu com a seguinte mensagem: “Por que não? Eles sempre mantêm nossos dados privados abertos. […] eles nem tentam proteger nossos dados. Eles têm bilhões de dinheiro do governo. […] O presidente dos EUA deu uma grande quantia para proteger as redes governamentais e onde está sua proteção? Onde está nossa proteção? Se o departamento de TI não quiser fazer o trabalho deles, faremos o nosso e não nos importamos se é um hospital ou universidade.”

73,9% das vítimas conhecidas deste grupo de cibercriminosos estão localizadas na França, Estados Unidos da América, Reino Unido, Espanha, Itália, Alemanha e Brasil.

O site de vazamento de dados da Vice Society onion exibe um design e um estilo de codificação HTML antigo, é escrito em inglês do Reino Unido.

Explorar vulnerabilidades publicamente disponíveis (como PrintNightmare) para executar a atividade remota de código parece ser a técnica mais avançada que o grupo já observou. Além disso, a Vice Society não recorre a capacidades autodesenvolvidas.

Embora as notas de resgate tenham evoluído ao longo do tempo, seu principal ponto de contato (v-society[.]official@onionmail[.]org) e DLS permanecem os mesmos.

As amostras mais antigas de 2021 são o ransomware HelloKitty para Linux (binários ELF) e as mais recentes (junho de 2022) são o ransomware Zeppelin. As amostras do Zeppelin se disfarçam de processos legítimos do Windows e parecem estar vinculadas à exploração da vulnerabilidade do PrintNightmare. Eles são personalizados para a Vice Society com a extensão do arquivo criptografado usando o formato “.v-society.XXX-XXX-XXX”, que é consistente com outros operadores de ransomware que usam o ransomware Zeppelin.

O ransomware Zeppelin é oferecido como Ransomware-as-a-Service (RaaS) em vários fóruns de cibercrime de língua russa (como XSS, BHF, DarkMarket, IFUD).

Em 5 de novembro de 2019, os atores por trás do apelido “buransupport” começaram a anunciar uma variante de ransomware chamada Zeppelin. A princípio, o objetivo era compartilhar o construtor para obter algumas análises do novo criptografador Zeppelin (baseado no malware VegaLocker e Buran).

Em junho de 2021, “buransupport” estava anunciando um programa de afiliados para seu “Offline ransomware Zeppelin”.

O autor da publicação descreve as funcionalidades do ransomware, incluindo “um algoritmo de criptografia robusto usando chave global e de sessão + chaves de arquivo aleatórias, verificação de todas as unidades locais e todos os caminhos de rede disponíveis, alta velocidade, encerramento de alguns processos para liberar arquivos abertos, possibilidade para criptografar arquivos sem alterar as extensões”.

O “Buransupport” ainda está presente e ativo nos fóruns de crimes cibernéticos, mas nenhuma atividade relacionada ao ransomware Zeppelin foi relatada em 2022.

Especialistas avaliam que o grupo Vice Society está atualmente permanecendo fora do radar, provavelmente como uma forma de não atrair a atenção das Agências de Aplicação da Lei (LEA) e continuar suas atividades ao longo prazo.

Veja também: BlackParty, nova campanha de malware tem o Brasil como alvo principal

Fonte

Sobre a Brasiline

A Brasiline construiu, em mais de 19 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.

Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.

Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.

Conheça nossos cases de sucesso
Entre em contato conosco

Mais Recentes
IA pode se tornar aliada no combate a ameaças cibernéticas
Brasiline
25 de novembro de 2024
Pesquisa da IEEE Transmitter aponta que uma das principais aplicações da IA em 2025 deve ser direcionada para a cibersegurança […]
Fortinet anuncia solução de prevenção de perda de dados aprimorada por IA
Brasiline
19 de novembro de 2024
Após a aquisição da Next DLP, a Fortinet traz a abordagem unificada do FortiDLP para proteção de dados, que permite […]
Cibersegurança, 
Infraestrutura e Cloud. 
Este é o nosso negócio!
Para saber mais sobre os produtos e serviços Brasiline, fale com um de nossos consultores
© Copyright 2024 Brasiline Tecnologia - Desenvolvido por Skyflare - Política de Privacidade | Termos de Serviço
Cadastre-se e fale com um especialista via WhatsApp!
calendar-fullcross
Como podemos te ajudar?