Colin Thierry
Publicerad på: September 8, 2022
FBI, CISA och MS-ISAC utfärdade en gemensam rådgivande på tisdag för att instruera IT-administratörer för skolor om hur de ska försvara sig mot Vice Society Ransomware attacker.
Utbildningssektorn, framför allt institutioner för dagis till och med 12:e klass (K-12), har ofta varit föremål för ransomware-attacker de senaste åren, enligt meddelandet.
Som ett resultat har dessa attacker orsakat begränsad åtkomst till nätverk och data, försenade tentor, inställda skoldagar och obehörig åtkomst till och stöld av personlig information om elever och personal, enligt råden.
"FBI, CISA och MS-ISAC förutser att attackerna kan öka när läsåret 2022/2023 börjar och kriminella grupper av ransomware ser möjligheter till framgångsrika attacker", löd meddelandet. ”Skoldistrikt med begränsad cybersäkerhetskapacitet och begränsade resurser är ofta de mest sårbara; Men den opportunistiska inriktning som ofta ses med cyberbrottslingar kan fortfarande utsätta skoldistrikt med robusta cybersäkerhetsprogram i fara.
"K-12-institutioner kan ses som särskilt lukrativa mål på grund av mängden känslig studentdata som är tillgänglig via skolsystem eller deras hanterade tjänsteleverantörer."
Enligt faktabladet i rådgivningen använder Vice Society-operatörer inte sin egen ransomware-stam. Istället växlar de mellan Hello Kitty/Five Hands och Zeppelin ransomware, och kan komma att använda andra varianter i framtiden, varnade meddelandet.
Cyberbrottsgruppen ska ha fått initial nätverksåtkomst genom komprometterade referenser genom att utnyttja internetanslutna applikationer.
"Innan de distribuerar ransomware spenderar aktörerna tid på att utforska nätverket, identifiera möjligheter att öka åtkomsterna och exfiltrera data för dubbel utpressning - en taktik där aktörer hotar att offentligt släppa känslig information om inte ett offer betalar en lösensumma", sade rådgivningen. "Vice Society-aktörer har observerats använda en mängd olika verktyg, inklusive SystemBC, PowerShell Empire och Cobalt Strike för att röra sig i sidled. De har också använt "living off the land"-tekniker inriktade på den legitima Windows Management Instrumentation-tjänsten (WMI) och smutskasta delat innehåll."
Databladet inkluderade också flera detaljer om Vice Society och försåg systemadministratörer med en detaljerad lista över kompromissindikatorer (IOCs) för att veta vilka ledtrådar de skulle leta efter.
