Die Sicherheitsforscher von SentinelLabs, dem Threat Research-Team von SentinelOne haben die Angriffsmethoden der Vice Society Group aufgedeckt. Die Gruppe wurde erstmals im Juni 2021 identifiziert und es handelt sich um eine gut ausgerüstete Ransomware-Gruppe, die erfolgreich in verschiedene Arten von Organisationen eingedrungen ist.
Mit der klassischen doppelten Erpressungstechnik versuchen sie, den finanziellen Gewinn durch rein opportunistische Angriffe zu maximieren. In den letzten Monaten hat Vice Society seine Zielauswahlstrategie auf weitere sensible Bereiche ausgeweitet. Anstatt ihre eigene Locker-Payload zu verwenden oder zu entwickeln, haben die Bedrohungsakteure Ransomware von Drittanbietern für ihre Angriffe eingesetzt, darunter HelloKitty, Five Hands und Zeppelin.
Bei der jüngst entdeckten Kampagne hat die Gruppe ein Toolkit verwendet, das mit verschiedenen Ransomware-Stämmen und -Varianten überbevölkert ist. Es konnten erhebliche Überschneidungen bei der Verschlüsselungsimplementierung in der Ransomware RedAlert festgestellt werden. Dabei handelt es sich um eine Linux Locker-Variante, die auf VMware ESXi-Server abzielt.
Nach Angaben von Microsoft hat Vice Society die RedAlert-Variante Ende September 2022 übernommen. Die Sicherheitsforscher konnten nicht bestätigen, ob zu diesem Zeitpunkt eine RedAlert-Windows-Variante bereits existierte oder ob die Windows-Variante, die als PolyVice bezeichnet wird, in irgendeiner Beziehung dazu steht.
Weitere Untersuchungen ergaben, dass die Codebasis, die für die Erstellung der Vice Society-Windows-Payload verwendet wurde, auch für die Erstellung benutzerdefinierter Nutzlasten für andere Bedrohungsgruppen verwendet wurde, darunter die beiden Ransomware-Typen Chily und SunnyDay.
Die Bereitstellungsmethode für diesen „Locker as a Service“ ist unklar, aber das Code-Design deutet darauf hin, dass der Ransomware-Entwickler einen Builder zur Verfügung stellt, der es den Käufern ermöglicht, unabhängig eine beliebige Anzahl von Lockern/Entschlüsseln zu generieren, indem sie eine Vorlagen-Nutzlast binär patchen.
Auf diese Weise können die Käufer ihre Ransomware individuell anpassen, ohne den Quellcode preiszugeben. Im Gegensatz zu anderen bekannten RaaS-Buildern können Käufer gebrandete Payloads generieren, die es ihnen ermöglichen, ihre eigenen RaaS-Programme auszuführen.
Schlussfolgerung
Die Gruppe Vice Society hat sich als hochgerüsteter und fähiger Bedrohungsakteur etabliert, der in der Lage ist, erfolgreich Lösegeldangriffe gegen große IT-Umgebungen durchzuführen und über Verbindungen zum kriminellen Untergrund verfügt. Die Einführung der PolyVice Ransomware-Variante hat ihre Angriffstechniken weiter verfeinert und ermöglicht es ihnen, die Daten ihrer Opfer mit einem robusten Verschlüsselungsschema schnell und effektiv zu verschlüsseln.
Die Ransomware-Bedrohungslandschaft entwickelt sich ständig weiter, wobei der Trend kontinuierlich zur Hyperspezialisierung und zum Outsourcing geht. Die Cyberkriminellen konzentrieren sich auf bestimmte Fähigkeiten und bieten diese auch als Dienstleistung für andere Akteure an, wodurch sie die traditionellen professionellen Dienstleistungen nachahmen und die Eintrittsbarrieren für weniger fähige Gruppen senken.
Dieser Trend zur Spezialisierung und zum Outsourcing stellt eine erhebliche Bedrohung für Unternehmen dar, da er die Verbreitung ausgefeilter Ransomware-Angriffe ermöglicht. Unternehmen müssen ihr Bewusstsein in Bezug auf diese Trends stärken und Maßnahmen ergreifen, um sich vor den immer raffinierteren Bedrohungen zu schützen.