Vicesociety

Überblick

Vice Society ist eine Ransomware-Gruppe, die im Rahmen der sogenannten Double Extortion vorgeht: Daten werden vor der Verschlüsselung entwendet und auf einer eigens betriebenen Leak-Site im Darknet zur Veröffentlichung angedroht. Die Gruppe setzt nicht ausschließlich einen eigenen Verschlüsseler ein, sondern greift auch auf Schadprogramme Dritter zurück, darunter HelloKitty, Zeppelin, RedAlert und QuantumLocker, sowie auf einen eigenen „ViceSociety“-Encryptor. Beim Angriff auf Linux-Systeme werden verschlüsselte Dateien mit der Endung „.v-society“ versehen. Auffällig ist die starke Ausrichtung auf den Bildungs- und Gesundheitssektor, in dem die Gruppe schwerpunktmäßig zuschlägt. Quellen verweisen zudem auf mögliche Verbindungen zur Gruppierung „HelloKitty“, deren Schadsoftware Vice Society ebenfalls verwendet. Das Vorgehen ist durch den Einsatz frei verfügbarer Schad- und Administrationswerkzeuge sowie öffentlich bekannter Schwachstellen geprägt, mit denen sich die Gruppe Zugang verschafft und sich in kompromittierten Netzwerken ausbreitet.

Taktiken & Vorgehen

Den Erstzugang erlangt Vice Society über kompromittierte Zugangsdaten aus Phishing oder Credential-Märkten, die zur Anmeldung über RDP oder VPN dienen, sowie über die Ausnutzung öffentlich erreichbarer Anwendungen, insbesondere der PrintNightmare-Schwachstelle im Windows-Druckwarteschlangendienst. Zur Ausführung und Seitwärtsbewegung kommen PowerShell, cmd.exe, PsExec und SMB-Freigaben zum Einsatz, ergänzt durch Werkzeuge wie Cobalt Strike, Impacket, PowerShell Empire und PowerSploit. Anmeldedaten werden mit Mimikatz aus dem LSASS-Speicher sowie über die NTDS.dit mittels ntdsutil und VSS abgegriffen. Zur Netzwerkerkundung dienen Advanced IP Scanner und Advanced Port Scanner. AV- und EDR-Lösungen werden über PowerShell und Registry-Eingriffe deaktiviert, Ereignisprotokolle mit wevtutil gelöscht. Die Exfiltration zu Cloud-Speichern erfolgt über Rclone, MEGA, MegaSync und WinSCP; als persistenter C2-Kanal dient unter anderem der SystemBC-RAT. Schattenkopien werden entfernt und Sicherungsdienste deaktiviert.

Schutzmaßnahmen

Fernzugänge über RDP und VPN sollten durch Mehr-Faktor-Authentisierung und die Überwachung kompromittierter Zugangsdaten abgesichert werden, da der Erstzugang über gültige Konten erfolgt. Öffentlich erreichbare Systeme, insbesondere der Windows-Druckwarteschlangendienst, sollten gegen die Ausnutzung von PrintNightmare gehärtet werden. Der Zugriff auf den LSASS-Speicher und die NTDS.dit sollte eingeschränkt und überwacht werden, um das Abgreifen von Anmeldedaten zu erschweren. Die Ausführung von PowerShell und cmd.exe sollte protokolliert und eingeschränkt werden; Manipulationen an AV- und EDR-Lösungen sowie das Löschen von Ereignisprotokollen mit wevtutil sollten überwacht werden. Auffälliger Datenabfluss zu Cloud-Diensten über Rclone, MEGA oder WinSCP sollte am Netzwerkübergang erkannt werden. Schattenkopien und Sicherungsdienste sollten gegen unbefugte Löschung geschützt werden.