Ransomware

Vice Society として知られる脅威グループは、米国および世界中の教育部門を標的とする攻撃で、ランサムウェアのペイロードを切り替えています。

これは必ずしも新しい情報ではありませんが、このグループはいくつかの攻撃で複数のランサムウェア株を使用することで知られているため、Microsoft は、2022 年 7 月から 10 月にかけて、米国の教育部門の組織に対してこの戦術を使用したことも確認しています.

Microsoft Security Threat Intelligence アナリストが本日公開されたレポートで共有したように、Vice Society は BlackCat、QuantumLocker、Zeppelin、および Vice Society ブランドの Zeppelin ランサムウェアの亜種を交換しています。

Microsoft のアナリストによると、9 月以降、暗号化されたドキュメントに .locked ファイル拡張子を追加する、 RedAlertと呼ばれるペイロードの修正バージョンに移行しました。

Vice Society は独自のデータ リーク サイトを運営していますが、RedAlert および BlackCat オペレーションにも独自のリーク サイトがあることに注意してください。

副協会のリークサイト
副協会のリーク サイト (BleepingComputer)

レポートで言及されている系統に加えて、ギャングが攻撃の一環として HelloKitty/Five Hands ランサムウェアも展開していることを認識しています。

また、一部の攻撃では、Vice Society はランサムウェアの展開段階をスキップします。攻撃者は、被害者のネットワークから機密データを盗み、盗んだファイルをオンラインで漏らすという脅迫の下で強要します。

「いくつかのケースで、Microsoft は、このグループがランサムウェアを展開したのではなく、盗み出された盗まれたデータのみを使用して恐喝を行った可能性があると評価しています」と同社は述べています。

「サービスとしてのランサムウェア (RaaS) 提供 (BlackCat) から、購入した完全所有のマルウェア提供 (Zeppelin) およびカスタムの副協会の亜種への移行は、DEV-0832 がサイバー犯罪経済と積極的に結びついており、ランサムウェア ペイロードをテストしていることを示しています。」

米国の学校を標的に

Vice Societyは少なくとも 2021 年 6 月初旬から活動している脅威グループで、 Hello Kitty/Five HandsZeppelin ランサムウェアなど、被害者のネットワークに複数のランサムウェアを展開することで知られています。

また、侵害されたシステムからデータを暗号化する前に盗み出し、それを使用して二重恐喝を行い、身代金の要求が満たされない場合、被害者がオンラインでデータを漏洩すると脅迫します。

このグループの最近の被害者の 1 つは、米国で 2 番目に大きい学区であるロサンゼルス ユニファイド (LAUSD)です。

もう 1 つの有名な教育部門の被害者は、 インスブルックのオーストリア医科大学で、深刻な IT サービスの中断を受けて、3,400 人の学生全員と 2,200 人の従業員のアカウント パスワードをリセットしなければなりませんでした。

11 月、米国の上院議員マギー ハッサン、キルステン シネマ、ジャッキー ローゼン、クリス ヴァン ホレンは、米国教育省と国土安全保障省 (DHS) に対し、この大規模な攻撃に対応するために、K-12 学校でのサイバーセキュリティ保護を強化するよう要請しました。

先月、FBI と CISA は共同勧告で、 バイス ソサエティ グループが米国の教育部門を過度に標的にしていると警告しました。