Vice Society mit eigener Ransomware unterwegs

Einrichtungen in den USA und Europa sind bereits unter den Opfern zu finden. Berichten zufolge nutzen die Cyberkriminellen in ihren Kampagnen die Sicherheitslücke PrintNightmare (CVE-2021-1675 und CVE-2021-34527) aus.

Angeblich handelt es sich um eine russischsprachige Gruppe. Die Betreiber von Vice Society nutzen ein doppeltes Erpressungsschema, bei dem neue Opfer zu ihrer anonymisierten Leak-Site hinzugefügt und exfiltrierte Daten offengelegt werden. Sie bieten eine aktive Infrastruktur, um ihre illegalen Aktivitäten aufrechtzuerhalten. In den ersten Tagen wurde beobachtet, dass sie eine Reihe von Ransomware nutzen, die Schwachstellen wie PrintNightMare ausnutzen und LOLBINS wie WMI einsetzen, aber in ihrer jüngsten Kampagne setzten sie sogar eine eigene Malware-Variante ein. Die fremde Ransomware kann auf Dark Web Markets erworben werden, darunter HelloKitty/FiveHands, Zeppelin Ransomware und BlackCat. Anhand der in den hinterlassenen Erpresserbriefen verwendeten E-Mail-Adressen und der Ransomware-Analyse konnten Sicherheitsforscher die bei jedem Angriff verwendete Ransomware-Familie identifizieren.

Backups, Netzwerksegmentierung und Tests

Alon Schwartz, Security Analyst bei Logpoint, empfiehlt nochmals mit Nachdruck, mit folgenden Maßnahmen – auch wenn sie nicht wirklich neu sind – das Risiko eines Ransomware Angriffs zu minimieren:

  1. Regelmäßige Backups: Sicherungskopien wichtiger Daten sind im Falle einer Datenverschlüsselung Gold wert, wenn sie sicher außerhalb des Netzes gespeichert werden.
  2. E-Mail-Sicherheit: E-Mail-Sicherheitsmaßnahmen wie Filter sollten implementiert werden, um verdächtige Anhänge und Links zu blockieren.
  3. Netzwerksegmentierung: Netzwerk gehören segmentiert, um im Falle eines Angriffs die Verbreitung von Malware einzuschränken.
  4. Anti-Malware-Lösungen: Anti-Malware-Lösungen sorgen für Echtzeit-Scans und regelmäßige Updates, um neue Ransomware-Bedrohungen zu erkennen und zu verhindern.
  5. Regelmäßige Tests: Die Sicherheitsmaßnahmen der Organisation und die Prozesse zur Reaktion auf Vorfälle sollten regelmäßig getestet werden, um sicherzustellen, dass die Security Analysten Ransomware-Angriffe wirksam erkennen und darauf reagieren können.

Wenn ein Angreifer jedoch bereits in ein Netzwerk eingedrungen ist, kann eine Kombination aus präzisen SIEM-Regeln und gut durchdachten SOAR-Playbooks Abhilfe schaffen.

Roger Homrich

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

8 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago