Colin Thierry
Az FBI, a CISA és az MS-ISAC kiadta a közös tanácsadás kedden, hogy oktassák az iskolák informatikai rendszergazdáit, hogyan védekezzenek a Vice Society ellen ransomware támadásokat.
A közlemény szerint az oktatási szektor, elsősorban az óvodáktól a 12. osztályig (K-12) végzett intézmények gyakran kerültek ransomware támadások célpontjába az elmúlt években.
Ennek eredményeként ezek a támadások korlátozták a hálózatokhoz és az adatokhoz való hozzáférést, elhalasztották a vizsgákat, törölték a tanítási napokat, valamint jogosulatlan hozzáférést és ellopást okoztak a diákokat és az alkalmazottakat érintő személyes adatokhoz.
„Az FBI, a CISA és az MS-ISAC arra számít, hogy a támadások száma megnövekedhet, ahogy a 2022/2023-as tanév elkezdődik, és a bűnöző zsarolóvírus-csoportok felismerik a sikeres támadások lehetőségeit” – olvasható a közleményben. „A korlátozott kiberbiztonsági képességekkel és korlátozott erőforrásokkal rendelkező iskolai körzetek gyakran a legsebezhetőbbek; a számítógépes bűnözőknél gyakran tapasztalt opportunista célzás azonban továbbra is veszélybe sodorhatja a robusztus kiberbiztonsági programokkal rendelkező iskolai körzeteket.
„A K-12 intézmények különösen jövedelmező célpontnak tekinthetők az iskolarendszeren vagy az általuk kezelt szolgáltatókon keresztül elérhető érzékeny tanulói adatok miatt.”
A tanácsadóban található adatlap szerint a Vice Society üzemeltetői nem használják saját ransomware törzsüket. Ehelyett a Hello Kitty/Five Hands és a Zeppelin ransomware között váltakoznak, és a jövőben más változatokat is használhatnak – figyelmeztet a közlemény.
A kiberbűnözők csoportja állítólag a feltört hitelesítő adatok révén szerez kezdeti hálózati hozzáférést az internetes alkalmazások kihasználásával.
„A zsarolóprogramok telepítése előtt a szereplők időt töltenek a hálózat felfedezésével, a hozzáférés növelésének lehetőségeinek feltárásával és az adatok kiszűrésével kettős zsarolás céljából – ez a taktika, amellyel a szereplők bizalmas adatok nyilvános kiadásával fenyegetőznek, hacsak az áldozat nem fizet váltságdíjat” – áll a tanácsban. „A Vice Society szereplőit számos eszköz segítségével figyelték meg, beleértve a SystemBC-t, a PowerShell Empire-t és a Cobalt Strike-ot, hogy oldalirányban mozogjanak. Emellett „a földön élni” technikákat is alkalmaztak, amelyek a legális Windows Management Instrumentation (WMI) szolgáltatást célozták meg, és beszennyezték a megosztott tartalmat.
Az adatlap számos további részletet is tartalmazott a Vice Society-re vonatkozóan, és a rendszergazdákat a kompromisszummutatók (IOC) részletes listájával látta el, hogy tudják, milyen nyomokat kell keresniük.
