Vice Society mit eigener Ransomware unterwegs

Einrichtungen in den USA und Europa sind bereits unter den Opfern zu finden. Berichten zufolge nutzen die Cyberkriminellen in ihren Kampagnen die Sicherheitslücke PrintNightmare (CVE-2021-1675 und CVE-2021-34527) aus.

Angeblich handelt es sich um eine russischsprachige Gruppe. Die Betreiber von Vice Society nutzen ein doppeltes Erpressungsschema, bei dem neue Opfer zu ihrer anonymisierten Leak-Site hinzugefügt und exfiltrierte Daten offengelegt werden. Sie bieten eine aktive Infrastruktur, um ihre illegalen Aktivitäten aufrechtzuerhalten. In den ersten Tagen wurde beobachtet, dass sie eine Reihe von Ransomware nutzen, die Schwachstellen wie PrintNightMare ausnutzen und LOLBINS wie WMI einsetzen, aber in ihrer jüngsten Kampagne setzten sie sogar eine eigene Malware-Variante ein. Die fremde Ransomware kann auf Dark Web Markets erworben werden, darunter HelloKitty/FiveHands, Zeppelin Ransomware und BlackCat. Anhand der in den hinterlassenen Erpresserbriefen verwendeten E-Mail-Adressen und der Ransomware-Analyse konnten Sicherheitsforscher die bei jedem Angriff verwendete Ransomware-Familie identifizieren.

Backups, Netzwerksegmentierung und Tests

Alon Schwartz, Security Analyst bei Logpoint, empfiehlt nochmals mit Nachdruck, mit folgenden Maßnahmen – auch wenn sie nicht wirklich neu sind – das Risiko eines Ransomware Angriffs zu minimieren:

  1. Regelmäßige Backups: Sicherungskopien wichtiger Daten sind im Falle einer Datenverschlüsselung Gold wert, wenn sie sicher außerhalb des Netzes gespeichert werden.
  2. E-Mail-Sicherheit: E-Mail-Sicherheitsmaßnahmen wie Filter sollten implementiert werden, um verdächtige Anhänge und Links zu blockieren.
  3. Netzwerksegmentierung: Netzwerk gehören segmentiert, um im Falle eines Angriffs die Verbreitung von Malware einzuschränken.
  4. Anti-Malware-Lösungen: Anti-Malware-Lösungen sorgen für Echtzeit-Scans und regelmäßige Updates, um neue Ransomware-Bedrohungen zu erkennen und zu verhindern.
  5. Regelmäßige Tests: Die Sicherheitsmaßnahmen der Organisation und die Prozesse zur Reaktion auf Vorfälle sollten regelmäßig getestet werden, um sicherzustellen, dass die Security Analysten Ransomware-Angriffe wirksam erkennen und darauf reagieren können.

Wenn ein Angreifer jedoch bereits in ein Netzwerk eingedrungen ist, kann eine Kombination aus präzisen SIEM-Regeln und gut durchdachten SOAR-Playbooks Abhilfe schaffen.

Roger Homrich

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

1 Tag ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

1 Tag ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago