Специалисты Microsoft опубликовали отчет о хакерской группировке Vice Society (она же DEV-0832), которая применяет программы-вымогатели для атак на образовательный сектор в США и других странах мира. По данным экспертов, атакующие переключаются между использованием шифровальщиков BlackCat, QuantumLocker, Zeppelin и еще одни вариантом Zeppelin, который используется под «брендом» Vice Society.

Группа Vice Society активна с июня 2021 года и известна тем, что использует в сетях своих жертв несколько разновидностей вымогателей. Помимо шифрования файлов, преступники воруют данные из скомпрометированных систем и используют их для двойного вымогательства, угрожая пострадавшим опубликовать информацию в сети, если требования о выкупе не будут выполнены.

Одной из самых крупных и известных жертв Vice Society недавно стал второй по величине школьный округа в США, LAUSD (Los Angeles Unified School District, Объединенный школьный округ Лос-Анджелеса).

Как теперь пишут аналитики Microsoft Security Threat Intelligence, что с июля по октябрь 2022 года группировка чередовала использование перечисленных выше вредоносов, и в сентябре также задействовала модифицированную версию собственного пейлоада RedAlert, который добавляет расширение .locked к зашифрованным файлам.

Журналисты издания Bleeping Computer отмечают, что помимо малвари, упомянутой в отчете специалистов, группировка использует в своих атаках и вымогатель HelloKitty/Five Hands.

Кроме того, порой Vice Society вообще пропускает этап шифрования данных, и операторы предпочитают просто воровать конфиденциальные данные из сетей своих жертв и требовать выкуп под угрозой из «слива».

Microsoft пишет, что группировка «продолжает уделять внимание организациям со слабыми мерами безопасности», которые легко взломать и получить выкупа. В частности, Vice Society явно фокусируется на секторе образования.

«Microsoft полагает, что в некоторых случаях группа вовсе не развертывала программы-вымогатели и, вероятно, осуществляли вымогательство, используя только украденные данные, — пишут исследователи. — Переход от использования RaaS BlackCat (Ransomware-as-a-Sevice, «Вымогатель-как-услуга») к полностью покупаемому вредоносному ПО (Zeppelin) и собственному  кастомному варианту Vice Society, указывает на то, что DEV-0832 имеет обширные связи в киберпреступной среде и тестирует полезные нагрузки программ-вымогателей на эффективность, а также возможности вымогательства после вымогательских атак», — заключают эксперты.

 

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии