Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vice Society

Vice Society

5 Fakta Vice Society, Grup Ransomware yang Menghancurkan Sektor Pendidikan

by

Ada pemain ransomware-as-a-service (RaaS) baru di kota yang menyerang sektor pendidikan—dan namanya adalah Vice Society.

Vice Society diyakini sebagai kelompok intrusi, eksfiltrasi, dan pemerasan yang berbasis di Rusia. Dan mangsa ideal mereka? Anda dapat menebaknya: universitas, perguruan tinggi, dan sekolah K-12. Biro Investigasi Federal (FBI) bahkan telah merilis Cybersecurity Advisory (CSA) bersama setelah mengamati bahwa Vice Society secara tidak proporsional menargetkan sektor pendidikan.

Tetapi dengan pengetahuan datanglah kekuatan. Semakin banyak sektor pendidikan mengetahui tentang Vice Society, semakin siap mereka untuk bertahan melawan mereka.

Dalam artikel ini, kami akan mempersenjatai Anda dengan lima fakta tentang Vice Society sehingga Anda dapat mengatasi ancaman yang terus-menerus ini.

Berikut 5 Fakta tentang Vice Society:

  • 1. Pada tahun 2022 mereka adalah penyerang terbesar di sektor pendidikan
  • 2. Dan mereka tidak menunjukkan tanda-tanda melambat di tahun 2023
  • 3. Mereka memanfaatkan teknik hidup dari tanah untuk menyelinap melewati deteksi
  • 4. Menggunakan teknik yang sudah dikenal seperti phishing, kredensial yang disusupi, dan eksploitasi untuk membangun pijakan di jaringan korban.
  • 5. Sepertinya mereka terbuka untuk menegosiasikan uang tebusan awal mereka

Vice Society saat ini merupakan ancaman RaaS paling parah terhadap sektor pendidikan. Tetap saja, untuk mengatakan bahwa serangan ransomware di sekolah adalah masalah Vice Society, murni kehilangan hutan untuk pepohonan.

Kami tidak ingin mengatakan meluncurkan ransomware di sekolah K-12, perguruan tinggi, dan universitas semudah mengambil permen dari bayi, tetapi sayangnya begitulah yang dilihat oleh banyak geng RaaS. Kenyataannya adalah anggaran yang ketat dari banyak lembaga pendidikan memaksa mereka untuk berjuang dengan peralatan usang dan staf yang terbatas, menjadikannya sasaran empuk bagi penjahat dunia maya.

Selengkapnya: MalwarebytesLABS

Ransomware Vice Society Membocorkan Data University of Duisburg-Essen

by

Geng ransomware Vice Society telah mengaku bertanggung jawab atas serangan dunia maya November 2022 di Universitas Duisburg-Essen (UDE) yang memaksa universitas untuk merekonstruksi infrastruktur TI-nya, sebuah proses yang masih berlangsung.

Pelaku ancaman juga membocorkan file yang mereka klaim telah dicuri dari universitas selama pelanggaran jaringan, mengungkap detail yang berpotensi sensitif tentang operasi, mahasiswa, dan personil universitas.

Kemudian UDE mengkonfirmasi bahwa mereka mengetahui pelaku ancaman menerbitkan data yang dicuri dan mengatakan bahwa mereka tidak akan membayar uang tebusan.

File yang bocor termasuk arsip cadangan, dokumen keuangan, makalah penelitian, dan spreadsheet siswa. Meskipun tampaknya asli, kami tidak memiliki cara untuk memastikan keasliannya.

Serangan yang banyak terjadi membuat FBI, CISA, dan MS-ISAC merilis peringatan penasehat bersama bahwa geng ransomware semakin menargetkan distrik sekolah AS.

Membangun Kembali Infrastruktur TI UDE
Serangan dunia maya diungkapkan oleh UDE pada 28 November 2022, memaksa universitas untuk menutup semua email, komunikasi, dan sistem TI hingga pemberitahuan lebih lanjut.

Meski spesialis TI UDE telah mengembalikan beberapa sistem inti ke status fungsional dan melakukan penyetelan ulang kata sandi secara luas untuk platform pembelajaran online yang memengaruhi 40.000 orang, UDE masih jauh dari kembali ke operasi normal.

UDE menjelaskan bahwa serangan siber telah memengaruhi 1.200 server dan membahayakan sistem otorisasi pusat, jadi memulihkan semua ini tidak praktis.

CISO UDE, Marius Mertens, pada wawancara tahun 2019, membahas keberhasilan mitigasi serangan ransomware. Menyoroti pentingnya superkomputer universitas, yang menempati peringkat 500 teratas di Eropa, dan menjelaskan bahwa gangguan pada operasinya akan mengakibatkan kerugian finansial yang signifikan.

Selengkapnya: BleepingComputer

Kelompok Ransomware Vice Society Beralih ke Enkripsi Baru

by

Operasi ransomware Vice Society telah beralih menggunakan enkripsi ransomware khusus yang mengimplementasikan skema enkripsi hibrid yang kuat berdasarkan NTRUEncrypt dan ChaCha20-Poly1305.

Vice Society pertama kali muncul pada musim panas 2021, ketika mereka mulai mencuri data dari jaringan perusahaan dan mengenkripsi perangkat. Pelaku ancaman kemudian akan melakukan serangan pemerasan ganda, mengancam akan mempublikasikan data jika uang tebusan tidak dibayarkan.

Encyrptor “PolyVice” Baru
Strain PolyVice baru, begaimanapun, memberikan serangan Vice Society tabda tangan unik, menambahkan ekstensi “.ViceSociety” ke file yang terkunci dan menjatuhkan catatan tebusan bernama AllYFilesAE’.

Vice Society ransom note
Sumber: BleepingComputer

Analisis SentinelOne mengungkapkan bahwa PolyVice memiliki kesamaan kode yang luas dengan rensomware Chilly dan ransomware SunnyDay, engan kecocokan 100% pada fungsi

Similarity between Chilly and PolyVice (SentinelOne)

Perbedaannya terletak pada detail khusus kampanye seperti ekstensi file, nama catatan tebusan, kunci master hardcode, wallpaper, dll., yang mendukung hipotesis vendor umum.

“Ini memungkinkan pembeli untuk menyesuaikan ransomware mereka tanpa mengungkapkan kode sumber apa pun. Tidak seperti pembuat RaaS lain yang dikenal, pembeli dapat membuat muatan bermerek, memungkinkan mereka menjalankan program RaaS mereka sendiri.”

Enkripsi Hybrid
PolyVice menggunakan skema enkripsi hibrid yang menggabungkan enkripsi asimetris dengan algoritme NTRUEncrypt dan enkripsi simetris dengan algoritme ChaCha20-Poly1305.

Saat peluncuran, payload mengimpor kunci publik NTRU 192-bit yang dibuat sebelumnya dan kemudian menghasilkan pasangan kunci pribadi NTRU 112-bit acak pada sistem yang disusupi, yang unik untuk setiap korban.

Enkripsi pasangan kunci privat NTRU (SentinelOne)

PolyVice ransomware adalah biner 64-bit yang menggunakan multi-threading untuk enkripsi data simetris paralel, memanfaatkan prosesor korban secara penuh untuk mempercepat proses enkripsi.

Selain itu, setiap pekerja PolyVice membaca konten file untuk menentukan pengoptimalan kecepatan apa yang dapat diterapkan di setiap kasus. Pengoptimalan ini bergantung pada ukuran file, dengan PolyVice menerapkan enkripsi intermiten secara selektif.

  • File yang lebih kecil dari 5MB sepenuhnya dienkripsi
  • File antara 5MG dan 100MB dienkripsi sbegaian, memecahnya menjadi potongan kedua.
  • File yang lebih bedsar dari 100MB dipecah menjadi sepuluh potongan yang terdistribusi secara merata, dan 2,5MB dari setiap potongan dienkripsi

Kesimpulannya, temuan SentinelOne lebih lanjut menggarisbawahu tren outsourcing di ruang angkasa, dengan geng ransomware membayar spesialis untuk menciptakan alat yang canggih dan berkinerja tinggi.

sumber : BleepingComputer

FBI memperingatkan serangan ransomware Vice Society di distrik sekolah

by

FBI, CISA, dan MS-ISAC hari ini memperingatkan distrik sekolah AS yang semakin menjadi sasaran kelompok ransomware Vice Society, dengan lebih banyak serangan diperkirakan terjadi setelah awal tahun ajaran baru.

Mereka juga “mengantisipasi serangan dapat meningkat saat tahun ajaran 2022/2023 dimulai dan kelompok ransomware kriminal melihat peluang untuk serangan yang berhasil.”

Penasihat memberikan indikator kompromi (IOCs) dan taktik, teknik, dan prosedur (TTPs) yang diamati oleh FBI dalam serangan baru-baru ini pada September 2022.

Serangan terhadap sektor pendidikan, terutama yang menargetkan taman kanak-kanak hingga lembaga K-12, berdampak besar pada operasi mereka, mulai dari akses terbatas ke jaringan dan data, ujian yang tertunda, dan hari-hari sekolah yang dibatalkan hingga pencurian informasi pribadi milik siswa dan sekolah. staf.

Salah satu serangan tersebut diungkapkan hari ini oleh Los Angeles Unified (LAUSD), distrik sekolah terbesar kedua di AS, setelah serangan ransomware menjatuhkan beberapa sistem Teknologi Informasi (TI) selama akhir pekan—LAUSD belum mengaitkan serangan tersebut ke geng ransomware tertentu.

Pembela jaringan disarankan untuk mengambil langkah-langkah untuk mempertahankan dan membatasi dampak serangan ransomware, termasuk memprioritaskan dan memulihkan kerentanan yang diketahui dieksploitasi, melatih pengguna mereka untuk mengenali dan melaporkan upaya phishing yang biasa digunakan sebagai vektor serangan awal, dan mengaktifkan dan menerapkan otentikasi multifaktor.

FBI juga meminta para korban untuk membagikan catatan dan informasi lain yang terkait dengan serangan tersebut.

“FBI mencari informasi apa pun yang dapat dibagikan, untuk memasukkan log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, contoh catatan tebusan, komunikasi dengan aktor Vice Society, informasi dompet Bitcoin, file dekripsi, dan/atau sampel jinak dari file terenkripsi,” kata badan penegak hukum federal.

Vice Society adalah kelompok ancaman yang dikenal menyebarkan beberapa jenis ransomware di jaringan korban mereka, seperti ransomware Hello Kitty/Five Hands dan Zeppelin.

Mereka juga mencuri data sensitif dari sistem yang disusupi sebelum enkripsi dan kemudian menggunakannya untuk pemerasan ganda, mengancam korbannya untuk membocorkan data yang dicuri jika permintaan tebusan mereka tidak dibayar.

Salah satu korban kelompok baru-baru ini adalah Universitas Kedokteran Austria Innsbruck yang terpaksa mengatur ulang semua 3.400 kata sandi akun siswa dan 2.200 karyawan setelah gangguan layanan TI yang parah dan data yang dicuri dalam serangan itu bocor di situs kebocoran data geng.

Analis ancaman Emsisoft Brett Callow mengatakan bahwa serangan ransomware telah mengganggu pendidikan di sekitar 1.000 universitas, perguruan tinggi, dan sekolah selama tahun 2021.

Sumber: Bleeping Computer