Il gruppo di hacker Vice Society ricorre a uno strumento PowerShell personalizzato per automatizzare il processo di esfiltrazione dei dati dalle reti compromesse e sfuggire ai sistemi di sicurezza.
Gli attori delle minacce associati alla gang del ransomware
Vice Society sono stati osservati mentre utilizzano uno strumento PowerShell su misura per volare sotto il radar e automatizzare il processo di esfiltrazione dei dati dalle reti compromesse.
Gli attori delle minacce utilizzano metodi di esfiltrazione dati integrati
Ryan Chapman, ricercatore di Unit 42 di Palo Alto Networks, ha dichiarato che “gli attori delle minacce (TAs) che utilizzano metodi di esfiltrazione dati integrati come [living off the land binaries and scripts] evitano la necessità di introdurre strumenti esterni che potrebbero essere segnalati dai software di sicurezza e/o dai meccanismi di rilevazione basati sull’uomo. Questi metodi possono anche nascondersi all’interno dell’ambiente operativo generale, fornendo sottomissione all’attore della minaccia”.
Vice Society, un gruppo di hacker incentrato sull’estorsione
Vice Society, monitorato da Microsoft con il nome DEV-0832, è un gruppo di hacker focalizzato sull’estorsione che è emerso sulla scena nel maggio 2021. È noto per fare affidamento su binari di ransomware venduti nel sottobosco criminale per raggiungere i propri obiettivi. Nel dicembre 2022, SentinelOne ha descritto l’uso da parte del gruppo di una variante di ransomware, chiamata PolyVice, che implementa uno schema di crittografia ibrido che combina crittografia asimmetrica e simmetrica per criptare in modo sicuro i file.
Vice Society, una ransomware gang infame: pubblicati i dati dei minori nel dark web
Lo strumento PowerShell per l’esfiltrazione dei dati
Lo script PowerShell scoperto da Unit 42 (w1.ps1) funziona identificando le unità montate sul sistema e poi cercando ricorsivamente attraverso ciascuna delle directory principali per facilitare l’esfiltrazione dei dati tramite HTTP. Lo strumento utilizza anche criteri di esclusione per filtrare i file di sistema, i backup e le cartelle relative ai browser web e alle soluzioni di sicurezza di Symantec, ESET e Sophos. La società di cybersecurity ha affermato che il design complessivo dello strumento dimostra un “livello professionale di programmazione”.
La scoperta dello script di esfiltrazione dei dati evidenzia la continua minaccia della doppia estorsione nel panorama dei ransomware e serve come promemoria per le organizzazioni di dare priorità a solide protezioni di sicurezza e di rimanere vigili di fronte alle minacce in evoluzione.