Vice Society, ciberdelincuentes que explotan aplicaciones de Internet para obtener el acceso a la red mediante credenciales comprometidas

Posted onAuthorASILeave a comment

Vice Society es un grupo de hackeo de intrusión, exfiltración y extorsión aparecido desde el 2021 que dirige ataques de ransomware principalmente hacia instituciones educativas.

No usan una variante de ransomware de origen único, sino que han implementado versiones de los ransomware Hello Kitty/Five Hands y Zeppelin, y es posible que utilicen otras variantes en el futuro.

Los ataques del grupo de ciberdelincuentes han afectado el acceso restringido a redes y datos, exámenes retrasados, días escolares cancelados asi como el acceso no autorizado y robo de información personal de estudiantes y personal.

Según la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) de los Estados Unidos, Vice Society explota aplicaciones orientadas a Internet para obtener el acceso a la red a través de credenciales comprometidas. Se aumentan los privilegios, obtienen acceso a las cuentas de administrador de dominio, y ejecutan scripts para cambiar las contraseñas de las cuentas de red de las víctimas para evitar que la víctima implemente remediaciones.

Antes de implementar el ransomware, los ciberdelincuentes exploran la red, identificando oportunidades para aumentar los accesos y exfiltrándolos para doble extorsión bajo la amenaza de divulgar públicamente datos confidenciales a menos de que la víctima pague un rescate.

El FBI, CISA y la MS-ISAC alientan a las organizaciones, principalmente a las del sector educativo, a implementar las siguientes recomendaciones para reducir la probabilidad y el impacto de los incidentes de ransomware:

Preparación para Incidentes Cibernéticos

  1. Realizar con regularidad copias de seguridad y restauración de datos, y mantenerlas fuera de línea.
  2. Revisar las conexiones de los proveedores, software y hardware, externos en busca de actividades sospechosas.
  3. Implementar políticas de listado de aplicaciones y acceso remoto permitidas.
  4. Documentar y monitorar las conexiones remotas externas.
  5. Implementar un plan de recuperación.

Gestión de Identidad y Acceso

  1. Requerir que las credenciales de inicio de sesión cumplan con los estándares del Instituto Nacional de Estándares y Tecnología (NIST).
  2. Requerir autenticación multifactor resistente al phishing.
  3. Revisar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas nuevas o no reconocidas.
  4. Auditar las cuentas de usuario con privilegios administrativos y configurar controles de acceso según el principio de mínimo privilegio.
  5. Implementar el acceso basado en el para las cuentas administrativas.

Controles y Arquitectura de Protección

  1. Segmentar las redes para evitar la propagación de ransomware.
  2. Identificar, detectar, e investigar la actividad anormal y el posible cruce del ransomware indicado con una herramienta de monitoreo de red.
  3. Instalar, actualizar periódicamente y habilitar la detección en tiempo real del software antivirus en todos los hosts.
  4. Supervisar el uso del Protocolo de Escritorio Remoto (RDP).

Gestión de Vulnerabilidades y Configuraciones

  1. Mantenger todos los sistemas operativos, software y firmware actualizados.
  2. Deshabilitar los puertos no utilizados.
  3. Considerar el agregar un banner de correo electrónico a los correos electrónicos recibidos desde fuera de su organización.
  4. Deshabilitar los hipervínculos en los correos electrónicos recibidos.
  5. Deshabilitar las actividades y los permisos de línea de comandos y secuencias de comandos.
  6. Asegurar que los dispositivos estén configurados correctamente y que las funciones de seguridad estén habilitadas.
  7. Deshabilitar los puertos y protocolos que no se utilizan para fines comerciales.
  8. Restringir el Protocolo de Bloque de Mensajes del Servidor (SMB) dentro de la red para acceder sólo a los servidores que sean necesarios, y eliminar o deshabilitar las versiones obsoletas de SMB.

Es recomendable además que las instituciones educativas revisen y, si es necesario, actualicen los planes de comunicación y respuesta a incidentes que enumeran las acciones que una organización tomará si se ve afectada por un incidente cibernético.

Deja una respuesta