Специалисты Microsoft опубликовали отчет о хакерской группировке Vice Society (она же DEV-0832), которая применяет программы-вымогатели для атак на образовательный сектор в США и других странах мира. По данным экспертов, атакующие переключаются между использованием шифровальщиков BlackCat, QuantumLocker, Zeppelin и еще одни вариантом Zeppelin, который используется под «брендом» Vice Society.
Группа Vice Society активна с июня 2021 года и известна тем, что использует в сетях своих жертв несколько разновидностей вымогателей. Помимо шифрования файлов, преступники воруют данные из скомпрометированных систем и используют их для двойного вымогательства, угрожая пострадавшим опубликовать информацию в сети, если требования о выкупе не будут выполнены.
Одной из самых крупных и известных жертв Vice Society недавно стал второй по величине школьный округа в США, LAUSD (Los Angeles Unified School District, Объединенный школьный округ Лос-Анджелеса).
Как теперь пишут аналитики Microsoft Security Threat Intelligence, что с июля по октябрь 2022 года группировка чередовала использование перечисленных выше вредоносов, и в сентябре также задействовала модифицированную версию собственного пейлоада RedAlert, который добавляет расширение .locked к зашифрованным файлам.
Журналисты издания Bleeping Computer отмечают, что помимо малвари, упомянутой в отчете специалистов, группировка использует в своих атаках и вымогатель HelloKitty/Five Hands.
Кроме того, порой Vice Society вообще пропускает этап шифрования данных, и операторы предпочитают просто воровать конфиденциальные данные из сетей своих жертв и требовать выкуп под угрозой из «слива».
Microsoft пишет, что группировка «продолжает уделять внимание организациям со слабыми мерами безопасности», которые легко взломать и получить выкупа. В частности, Vice Society явно фокусируется на секторе образования.
«Microsoft полагает, что в некоторых случаях группа вовсе не развертывала программы-вымогатели и, вероятно, осуществляли вымогательство, используя только украденные данные, — пишут исследователи. — Переход от использования RaaS BlackCat (Ransomware-as-a-Sevice, «Вымогатель-как-услуга») к полностью покупаемому вредоносному ПО (Zeppelin) и собственному кастомному варианту Vice Society, указывает на то, что DEV-0832 имеет обширные связи в киберпреступной среде и тестирует полезные нагрузки программ-вымогателей на эффективность, а также возможности вымогательства после вымогательских атак», — заключают эксперты.