Vice Society attackiert Schulen

Vice Society ist laut Palo Alto Networks/Unit 42 eine Ransomware-Bande, die in diesem Jahr an hochkarätigen Aktivitäten gegen Schulen beteiligt war. Im Gegensatz zu vielen anderen Ransomware-Gruppen wie LockBit, die ein typisches Ransomware-as-a-Service (RaaS)-Modell verfolgen, sind die Operationen von Vice Society insofern anders, als dass sie dafür bekannt sind, in ihrer Angriffskette Abspaltungen von bereits existierenden Ransomware-Familien zu verwenden, die auf DarkWeb-Marktplätzen verkauft werden. Dazu gehören die Ransomware-Stämme HelloKitty (auch bekannt als FiveHands) und Zeppelin, im Gegensatz zu Vice Society, die ihre eigene Nutzlast entwickeln.

Im September 2022 erklärte ein gemeinsames Cybersecurity Advisory (CSA) des FBI, CISA und des MS-ISAC, dass sie in letzter Zeit beobachtet hätten, dass Vice Society-Akteure mit Ransomware-Angriffen unverhältnismäßig stark auf den Bildungssektor abzielten. Die CSA fuhr fort, dass die Angriffe zunehmen könnten, da das Schuljahr 2022-23 beginnt und kriminelle Ransomware-Gruppen Chancen für erfolgreiche Angriffe sehen.

Vice Society tauchte erstmals im Sommer 2021 auf und nutzte in dieser Zeit die Sicherheitslücke CVE-2021-34527 (auch bekannt als PrintNightmare) als Teil ihrer Angriffskette. Die Bande ist auch dafür bekannt, dass sie Backups angreift und Daten von kompromittierten Systemen exfiltriert, um sie für eine doppelte Erpressung zu nutzen. Dabei handelt es sich um eine gängige Ransomware-Operationstaktik, bei der die Opfer unter Druck gesetzt werden, einen bestimmten Lösegeldbetrag im Gegenzug für die Entschlüsselung zu zahlen und zu verhindern, dass sensible Daten auf der speziellen Leak-Site des Angreifers veröffentlicht werden. Eine Welle von Aktivitäten der Vice Society gab es 2022 im gesamten Bildungssektor, was eine Flut von Hinweisen und Berichten über die Gruppe zur Folge hatte.

Die auffälligen Spitzen im Frühjahr und Herbst geben uns einen Hinweis auf einige ihrer Beweggründe. Da Bildungseinrichtungen das Hauptziel der Gruppe sind, könnte dies ein Hinweis darauf sein, dass sie ihre Kampagnen auf das besondere Kalenderjahr dieses Sektors abstimmen. Das Schuljahr beginnt für die meisten Bildungseinrichtungen in den USA in der Regel Ende August/September und endet im Juni. Möglicherweise haben sie versucht, ihre Angriffe im Jahr 2022 mit den Übergängen zwischen dem Beginn und dem Ende des Schuljahrs abzustimmen.

Seit Jahren haben Sektoren wie das Bildungs- und Gesundheitswesen unter vielen Herausforderungen bei der Bekämpfung von Ransomware gelitten, die sie zu besonders attraktiven Zielen gemacht haben. Mangelnde Budgetierung für Systeme und Sicherheitslösungen hat dazu geführt, dass viele Organisationen veraltete Hardware einsetzen, die nicht gegen die neuesten Sicherheitslücken gepatcht ist.

Zu den weiteren Herausforderungen, die die Angriffsfläche dieser Organisationen insgesamt vergrößern könnten, gehören Schwierigkeiten bei der Kontrolle und Verwaltung einer großen Anzahl persönlicher Geräte, die von Studenten und Mitarbeitern mitgebracht werden. Diese persönlichen Geräte stellen ein inhärentes Risiko dar, da sie über Cloud-Dienste mit persönlichen Dateien interagieren können. Vier Angriffe der Vice Society betrafen Deutschland und einer die Schweiz.

Obwohl diese Sektoren möglicherweise über spezielle IT- oder Sicherheitsteams verfügen, die herkömmliche Sicherheitslösungen wie ein Intrusion Detection System (IDS) oder Intrusion Prevention System (IPS) einsetzen, nutzen Ransomware-Bedrohungsakteure Techniken, die herkömmliche signaturbasierte Erkennungsmechanismen effektiv umgehen können. Diese Taktiken erfordern eine erweiterte Erkennungs- und Reaktionsplattform (Extended Detection and Response, XDR) für eine robustere Verhaltensüberwachung innerhalb eines Netzwerks.