Palo Alto: Vice Society è una minaccia da non sottovalutare

Tra i settori presi di mira quelli di istruzione e sanità , bersagli particolarmente attraenti per questa minaccia da non sottovalutare .

minaccia

Un’analisi di Unit 42, threat intelligence team di Palo Alto, ha identificato in Vice Society una minaccia da non sottovalutare e considerata tra le 10 più impattanti di quest’anno. Vice Society è una gang ransomware che nel 2022 è stata coinvolta in attività di alto profilo contro le scuole. A differenza di altri gruppi, come LockBit che seguono un modello tipico di ransomware-as-a-service (RaaS), le attività di Vice Society non prevedono lo sviluppo di un payload personalizzato. Si differenziano invece per l’utilizzo di fork di famiglie ransomware preesistenti commercializzati nel DarkWeb, che includono i ceppi HelloKitty (alias FiveHands) e Zeppelin.

Il debutto nel 2021

Nel settembre 2022, un Cybersecurity Advisory (CSA) congiunto di FBI, CISA e MS-ISAC ha dichiarato di aver osservato che gli attori di Vice Society avevano preso di mira il settore dell’istruzione. La minaccia: Vice Society è emerso per la prima volta nell’estate del 2021 e ha sfruttato la vulnerabilità CVE-2021-34527 (alias PrintNightmare) come parte della sua catena di attacchi. La gang è nota anche per aver preso di mira i backup ed esfiltrato dati dai sistemi compromessi per sfruttarli a scopo di doppia estorsione. Una tattica in cui alle vittime viene richiesto di pagare un riscatto in cambio della decrittografia ed evitare che i dati sensibili vengano pubblicati sul sito dei cybercriminali.

Attenzione a un minaccia da non sottovalutare

Vice Society è nota per aver preso di mira il settore dell’istruzione, in particolare le istituzioni scolastiche e universitarie, ma anche la sanità e le organizzazioni non governative . A queste si aggiungono anche le piccole e medie imprese, senza un’evidente focalizzazione geografica. Piuttosto, come si legge in un rapporto di SOCRadar, Vice Society si concentra su obiettivi di opportunità.

Poche investimenti sulla sicurezza

Per anni, settori come education e sanità hanno fatto fatica a combattere il ransomware e sono quindi diventate bersagli particolarmente attraenti. La mancanza di budget per sistemi e soluzioni di sicurezza all’avanguardia ha portato molte organizzazioni ad avvalersi di hardware legacy non patchati contro le vulnerabilità più recenti. A questo si aggiunge la difficoltà nel controllare e gestire un gran numero di dispositivi personali che introduce un rischio intrinseco perché interagiscono con i file personali tramite i servizi cloud.

Minaccia da non sottovalutare: Vice Society

Questi settori possono disporre di team IT dedicati che gestiscono soluzioni di sicurezza tradizionali. Tra questi i sistemi di rilevamento delle intrusioni (IDS) o di prevenzione delle intrusioni (IPS). Tuttavia gli attori delle minacce ransomware sfruttano tecniche che possono efficacemente evadere meccanismi di rilevamento tradizionali basati sulle firme. Per queste sarebbe invece necessaria una piattaforma di rilevamento e risposta estesa (XDR) per un monitoraggio comportamentale più robusto all’interno della rete.

Dove l’impatto è stato maggiore

Vice Society è principalmente opportunista e ha preso di mira organizzazioni di tutto il mondo. Il gruppo ha infettato aziende in particolare negli Stati Uniti, seguiti da Regno Unito, Spagna, Francia, Brasile, Germania e Italia. Unit 42 stima che, da quando ha iniziato a operare nel 2021, Vice Society abbia colpito più di 100 organizzazioni e oltre 90 delle infezioni totali dei siti leak pubblicati si sono verificate solo nel 2022. Nei casi di IR di Unit 42 riguardanti Vice Society, abbiamo osservato tempi di permanenza fino a 6 giorni. Questo rappresenta il tempo trascorso tra la data della compromissione iniziale e quella della scoperta.

Le richieste di riscatto

Nel tracciare le operazioni dei gruppi ransomware, Unit 42 prende nota delle richieste di riscatto iniziali e finali avanzate da ciascun gruppo. Questo ci permette di capire meglio quanto siano aggressive. Inoltre permette di avere una visione generale della velocità con cui un particolare attore potrebbe ridurre le proprie richieste dopo aver avviato le trattative. Le osservazioni sulle richieste di riscatto da parte di Vice Society nei casi di IR includono:

  • Le richieste iniziali di questo attore potrebbero superare il milione di dollari.
  • Le richieste finali dopo le trattative hanno raggiunto i 460.000 dollari.
  • La differenza tra le richieste iniziali e quelle finali può essere significative con riduzioni fino al 60%.