O que é a Vice-Society?
A Vice Society é um grupo de dupla extorsão pouco conhecido que se juntou ao ecossistema do cibercrime há um ano. Desde então, mostrou uma atividade constante, criptografando e exfiltrando os dados de suas vítimas e ameaçando a vazar suas informações para pressioná-las a pagar um resgate.
Ao contrário de outros grupos de dupla extorsão RaaS (Ransomware-as-a-Service), a Vice Society se concentra em entrar no sistema da vítima para implantar binários de ransomware vendidos em fóruns da Dark web. Essa é provavelmente uma maneira desse grupo economizar recursos no desenvolvimento de seu próprio ransomware.
As investigações da SEKOIA.IO mostram que eles estão atualmente aproveitando o ransomware Zeppelin direcionado a sistemas Windows.
Análise
O grupo Vice Society visa principalmente empresas de pequeno ou médio porte em campanhas de dupla extorsão operadas por humanos.
Desde o seu lançamento e até meados de junho de 2022, o grupo reivindicou campanhas visando pelo menos 88 vítimas, todas ainda listadas em seu site dedicado de vazamento de dados (DLS).
Esse grupo visa notavelmente distritos escolares públicos e outras instituições acadêmicas, pois 26,1% das vítimas listadas em seu site de vazamento de dados são entidades relacionadas à educação. O grupo também mostra um forte foco no setor de saúde.
Quando perguntado pela BleepingComputer por que visa organizações de saúde, o grupo respondeu com a seguinte mensagem: “Por que não? Eles sempre mantêm nossos dados privados abertos. […] eles nem tentam proteger nossos dados. Eles têm bilhões de dinheiro do governo. […] O presidente dos EUA deu uma grande quantia para proteger as redes governamentais e onde está sua proteção? Onde está nossa proteção? Se o departamento de TI não quiser fazer o trabalho deles, faremos o nosso e não nos importamos se é um hospital ou universidade.”
73,9% das vítimas conhecidas deste grupo de cibercriminosos estão localizadas na França, Estados Unidos da América, Reino Unido, Espanha, Itália, Alemanha e Brasil.
O site de vazamento de dados da Vice Society onion exibe um design e um estilo de codificação HTML antigo, é escrito em inglês do Reino Unido.
Explorar vulnerabilidades publicamente disponíveis (como PrintNightmare) para executar a atividade remota de código parece ser a técnica mais avançada que o grupo já observou. Além disso, a Vice Society não recorre a capacidades autodesenvolvidas.
Embora as notas de resgate tenham evoluído ao longo do tempo, seu principal ponto de contato (v-society[.]official@onionmail[.]org) e DLS permanecem os mesmos.
As amostras mais antigas de 2021 são o ransomware HelloKitty para Linux (binários ELF) e as mais recentes (junho de 2022) são o ransomware Zeppelin. As amostras do Zeppelin se disfarçam de processos legítimos do Windows e parecem estar vinculadas à exploração da vulnerabilidade do PrintNightmare. Eles são personalizados para a Vice Society com a extensão do arquivo criptografado usando o formato “.v-society.XXX-XXX-XXX”, que é consistente com outros operadores de ransomware que usam o ransomware Zeppelin.
O ransomware Zeppelin é oferecido como Ransomware-as-a-Service (RaaS) em vários fóruns de cibercrime de língua russa (como XSS, BHF, DarkMarket, IFUD).
Em 5 de novembro de 2019, os atores por trás do apelido “buransupport” começaram a anunciar uma variante de ransomware chamada Zeppelin. A princípio, o objetivo era compartilhar o construtor para obter algumas análises do novo criptografador Zeppelin (baseado no malware VegaLocker e Buran).
Em junho de 2021, “buransupport” estava anunciando um programa de afiliados para seu “Offline ransomware Zeppelin”.
O autor da publicação descreve as funcionalidades do ransomware, incluindo “um algoritmo de criptografia robusto usando chave global e de sessão + chaves de arquivo aleatórias, verificação de todas as unidades locais e todos os caminhos de rede disponíveis, alta velocidade, encerramento de alguns processos para liberar arquivos abertos, possibilidade para criptografar arquivos sem alterar as extensões”.
O “Buransupport” ainda está presente e ativo nos fóruns de crimes cibernéticos, mas nenhuma atividade relacionada ao ransomware Zeppelin foi relatada em 2022.
Especialistas avaliam que o grupo Vice Society está atualmente permanecendo fora do radar, provavelmente como uma forma de não atrair a atenção das Agências de Aplicação da Lei (LEA) e continuar suas atividades ao longo prazo.
Veja também: BlackParty, nova campanha de malware tem o Brasil como alvo principal
Sobre a Brasiline
A Brasiline construiu, em mais de 19 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.
Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.
Resumo de Ransomware - KageNoHitobito e DoNex
Principais descobertas do Relatório de Segurança na Nuvem de 2024
