Vice Society mit eigener Ransomware unterwegs

Einrichtungen in den USA und Europa sind bereits unter den Opfern zu finden. Berichten zufolge nutzen die Cyberkriminellen in ihren Kampagnen die Sicherheitslücke PrintNightmare (CVE-2021-1675 und CVE-2021-34527) aus.

Angeblich handelt es sich um eine russischsprachige Gruppe. Die Betreiber von Vice Society nutzen ein doppeltes Erpressungsschema, bei dem neue Opfer zu ihrer anonymisierten Leak-Site hinzugefügt und exfiltrierte Daten offengelegt werden. Sie bieten eine aktive Infrastruktur, um ihre illegalen Aktivitäten aufrechtzuerhalten. In den ersten Tagen wurde beobachtet, dass sie eine Reihe von Ransomware nutzen, die Schwachstellen wie PrintNightMare ausnutzen und LOLBINS wie WMI einsetzen, aber in ihrer jüngsten Kampagne setzten sie sogar eine eigene Malware-Variante ein. Die fremde Ransomware kann auf Dark Web Markets erworben werden, darunter HelloKitty/FiveHands, Zeppelin Ransomware und BlackCat. Anhand der in den hinterlassenen Erpresserbriefen verwendeten E-Mail-Adressen und der Ransomware-Analyse konnten Sicherheitsforscher die bei jedem Angriff verwendete Ransomware-Familie identifizieren.

Backups, Netzwerksegmentierung und Tests

Alon Schwartz, Security Analyst bei Logpoint, empfiehlt nochmals mit Nachdruck, mit folgenden Maßnahmen – auch wenn sie nicht wirklich neu sind – das Risiko eines Ransomware Angriffs zu minimieren:

  1. Regelmäßige Backups: Sicherungskopien wichtiger Daten sind im Falle einer Datenverschlüsselung Gold wert, wenn sie sicher außerhalb des Netzes gespeichert werden.
  2. E-Mail-Sicherheit: E-Mail-Sicherheitsmaßnahmen wie Filter sollten implementiert werden, um verdächtige Anhänge und Links zu blockieren.
  3. Netzwerksegmentierung: Netzwerk gehören segmentiert, um im Falle eines Angriffs die Verbreitung von Malware einzuschränken.
  4. Anti-Malware-Lösungen: Anti-Malware-Lösungen sorgen für Echtzeit-Scans und regelmäßige Updates, um neue Ransomware-Bedrohungen zu erkennen und zu verhindern.
  5. Regelmäßige Tests: Die Sicherheitsmaßnahmen der Organisation und die Prozesse zur Reaktion auf Vorfälle sollten regelmäßig getestet werden, um sicherzustellen, dass die Security Analysten Ransomware-Angriffe wirksam erkennen und darauf reagieren können.

Wenn ein Angreifer jedoch bereits in ein Netzwerk eingedrungen ist, kann eine Kombination aus präzisen SIEM-Regeln und gut durchdachten SOAR-Playbooks Abhilfe schaffen.

Roger Homrich

Recent Posts

Cyberangriffe auf junge Roblox-User via YouTube und Discord

ThreatLabz von Zscaler finden Kampagne, die Infostealer namens Tweaks an Roblox-User verbreitet.

1 Stunde ago

Sicherheitsprämien: Google zahlt Forschern 2023 rund 10 Millionen Dollar

Gegenüber 2022 sinkt der Betrag um 2 Millionen Dollar. Allein 3,4 Millionen Dollar schüttet Google…

2 Stunden ago

Microsoft baut KI-Rechenzentrum in NRW

Der Standort Elsdorf liegt in der Nähe wichtiger europäischer Datenleitungen. Eine neue Qualifizierungsoffensive soll zudem…

18 Stunden ago

Microsoft kündigt Office 2024 an

Für Geschäftskunden plant Microsoft die Version Office LTSC 2024 Professional Plus, Standard und Embedded. Auch…

1 Tag ago

Tor Project führt neue Sicherheitsfunktion WebTunnel ein

Der WebTunnel richtet sich an Nutzer in Region mit einer starken Internetzensur. Die Sicherheitsfunktion vermischt…

4 Tagen ago

HubSpot: Effizientes Customer-Relationship-Management

In der Welt des effizienten CRM ist HubSpot eine herausragende Wahl für kleine und aufstrebende…

4 Tagen ago