Il gruppo noto come Vice Society è attivo e si è reso protagonista di numerosi attacchi di estorsione, tramite ransomware, ai danni di organizzazioni nel settore sanitario, educativo e manifatturiero. La sua comparsa risale all’estate del 2021 ed è presumibilmente di origine russa.
Come molti altri gruppi di ransomware, Vice Society è noto per rubare informazioni dalle reti delle vittime prima di criptarle, allo scopo di praticare la doppia estorsione: minacciare di pubblicare i dati sul dark web a meno che non si paghi il riscatto richiesto.
I loro obiettivi non si limitano a una sola area geografica, essendo stati colpiti sia enti in Europa che negli Stati Uniti. Tra gli episodi più rilevanti, si annovera il grave compromesso subito dal Distretto Scolastico Unificato di Los Angeles.

vicesociety ransomware gang

Attacchi Vice Society negli Usa

Vice Society mira attivamente al settore dell’istruzione come target delle vittime. Questo lo dice il Data Leak Site (DLS) della cybergang che conta oltre 30 scuole vittime.
Utilizzando le informazioni raccolte dai casi, l’analista di minacce J.R. Gumarin ha determinato che il gruppo di ransomware rimane una “minaccia persistente” per le istituzioni scolastiche nel loro complesso. Oltre a utilizzare ceppi di ransomware preesistenti come HelloKitty negli attacchi, Vice Society si è distinto per la peculiarità nel mirare al settore dell’istruzione rispetto agli operatori LockBit, Hive, BlackCat e altri (per i quali abbiamo scritto approfondimenti dedicati all’interno del nostro blog).

Vice Society rappresenta una delle minacce più significative per le istituzioni scolastiche, grazie in parte ai brevi tempi di permanenza.
I ricercatori di Unit 42 hanno osservato che gli attori delle minacce trascorrono fino a sei giorni in un ambiente prima di essere individuati.
Per contro, il tempo di permanenza media per gli attacchi di ransomware è di 28 giorni, secondo il “2022 Unit 42 Incident Response Report”: anche se alcuni gruppi di ransomware come Black Basta sono stati visti distribuire payload in soli 12 ore.

Vice Society può fare perché non opera come una organizzazione di ransomware as a service con hacker affiliati.
Può quindi scegliere le sue vittime, che includono anche il settore sanitario. Una volta ottenuto l’accesso iniziale, gli operatori possono muoversi rapidamente.

Unit 42 ha avvertito che Vice Society rappresenta un rischio aumentato per il settore dell’istruzione.
“Conoscono come saranno quelle reti, le applicazioni comuni e i danni che causeranno se riescono a criptarle,” ha detto Olson, vicepresidente della Unit 42. “Inoltre, poiché non utilizzano affiliati, potrebbe esserci un coinvolgimento più rapido dal processo ransomware dal momento in cui intrudono nella rete.
Gli affiliati possono infiltrarsi in una rete e non passarla istantaneamente al gruppo di ransomware con cui lavorano.”

Il non lavorare con affiliati e il fatto di voler il proprio ransomware sono due fattori che rendono Vice Society diverso dagli altri gruppi.

La nuova ricerca ha anche dettagliato le richieste di riscatto nei casi di risposta agli incidenti e l’efficacia della negoziazione con Vice Society.
Mentre le richieste iniziali superavano il milione di dollari, le negoziazioni hanno ridotto il numero fino al 60% in alcuni casi.

Ma la minaccia Vice Society di divulgare dati rubati sul suo sito pubblico è un fattore importante quando si tratta di esercitare pressione sulle vittime per i pagamenti, ha detto Olson. Questa pressione aumenta solo per le scuole a causa dei dati sensibili degli studenti coinvolti.

Gli attacchi Vice Society in Italia e UK

L’Europa purtroppo non è immune agli attacchi di Vice Society.
Infatti, la Società Italiana Brevetti (SIB) lo scorso anno ha subito un attacco importante. Vice Society ha pubblicato sul suo sito di fuga dati (DLS), ospitato nella rete onion, un avviso in cui dichiarava di possedere dei documenti dell’azienda in questione. Vice Society forniva anche un link attraverso il quale era possibile accedere a una pagina di directory browsing dove erano presenti i documenti trapelati dalle infrastrutture IT di Brevetti.

Sempre l’anno scorso, il gruppo ransomware Vice Society ha divulgato un grande volume di informazioni personali identificabili (PII) sugli alunni e il personale di 14 scuole e università nel Regno Unito; comprese le informazioni sulle esigenze educative speciali (SEN) dei bambini, dati scansionati dei passaporti per gite scolastiche e dettagli sui pagamenti e i contratti del personale.

I documenti sono noti per riferirsi a 14 scuole separate, secondo un’indagine condotta dalla BBC, tra cui la Pates Grammar School a Gloucester, che è stata vittima nel settembre 2022. Inizialmente si pensava che non fossero state esfiltrate dati, anche se cinque giorni dopo la scuola ha inviato una email ai genitori per informarli che non era questo il caso.

ViceSociety e gli attacchi al settore sanità

Ma anche la sanità è presa di mira: noto è il caso dell’ospedale Macedonio Melloni di Milano.
Il contenuto presente sul data leak site della gang trattava una vasta quantità di informazioni provenienti dall’ospedale milanese.
I dati esaminati includevano:

  • informazioni mediche
  • diagnosi di pazienti
  • documenti relativi all’invalidità
  • richieste di sostegno per minori
  • carte di identità
  • tessere sanitarie
  • schede di valutazione dei dipendenti
  • istruzioni operative per il Covid
  • procedure interne
  • scambi email con comitati etici
  • manuali informatici
  • contratti con fornitori.

Molto grave se pensiamo che l’accesso al data leak sitet (tramite TOR Browser) non richiede competenze informatiche avanzate e può essere effettuato facilmente.

Come contrastare Vice Society?

Vice Society attualmente rappresenta la minaccia più grave per il settore dell’istruzione.
Tuttavia, limitare il problema degli attacchi ransomware alle scuole alla sola Vice Society significa sottovalutare il problema.

Molti gruppi vedono le scuole e le università dei bersagli estremamente facili.
La realtà è che i budget limitati di molte istituzioni educative le costringono a lottare con attrezzature obsolete e personale limitato, rendendole deboli agli occhi dei criminali informatici.

I consigli al settore dell’istruzione (e non solo) sono i seguenti:

  1. Creare un piano di emergenza il più presto possibile.
  2. Proteggere gli endpoint che utilizzano un approccio a strati con tecniche di rilevamento e prevenzione multi-vettoriali per fermare il ransomware fin dall’inizio.
  3. Opzioni di rollback del ransomware che dovrebbero conservare le modifiche ai file di dati sul sistema in una cache locale per 72 ore (nessun ransomware supera effettivamente le 24 ore), che possono essere utilizzate per aiutare a ripristinare le modifiche causate dal ransomware.