微软揪出攻击全球教育机构的幕后黑手

美国今年发生了一系列针对教育机构的勒索软件事件，勒索软件攻击甚至让校史长达157年的林肯学院直接倒闭了。因教育行业的特殊性，该行业掌握大量详实的个人信息，大学又承担了部分科研任务，这对黑客来说，是个宝藏。

周二，微软将黑客与 Vice Society 勒索软件团伙与其他几个勒索软件联系起来，并指出该组织一直是全球小学和大学攻击浪潮的幕后黑手。

Microsoft表示，已经看到 Vice Society 黑客（他们跟踪为 DEV-0832）使用了包括 BlackCat、QuantumLocker 和 Zeppelin 在内的勒索软件有效负载。

尽管在受害者的文件被加密后看到的扩展名带有 Vice Society 的名称，但微软表示，该组织的最新攻击实际上涉及 Zeppelin 的变体。FBI去年表示，根据 FBI 互联网犯罪投诉中心 (IC3) 的数据，Zeppelin 是针对美国组织的五种最常见的勒索软件之一。

微软指出，在某些情况下，Vice Society 组织实际上并未部署勒索软件，而只是使用已被泄露和被盗的数据勒索受害者。

该组织至少自 2021 年 6 月以来就一直活跃，其最近一次在 2022 年 7 月至 2022 年 10 月之间的袭击“严重影响了教育部门”。

FBI、网络安全和基础设施安全局 (CISA) 和其他机构在 9 月的警报中指出，Vice Society 在去年“不成比例地”攻击了数十家教育机构，并在今年秋天加大了攻击力度。

该组织公开承认上个月对洛杉矶联合学区的严重袭击——美国第二大学区。

在一个例子中，微软表示它看到 Vice Society 接管了两个域管理员帐户并重置了超过 150,000 个用户的用户密码——在将勒索软件部署到某些设备之前有效地锁定了合法用户。这一行动使组织几乎不可能启动补救流程和事件响应。

在 2022 年 7 月的另一起事件中，该组织最初部署了 QuantumLocker 勒索软件，然后在五个小时后部署了 Zeppelin 勒索软件。微软表示，该事件“可能表明 DEV-0832 维护多个勒索软件有效负载并根据目标防御进行切换，或者，在 DEV-0832 保护伞下工作的分散运营商可能会维护自己首选的勒索软件有效负载以进行分发。”

2022 年 8 月的一次攻击使该组织利用了CVE-2022-24521，CISA 在 4 月份表示，一个影响 Windows 通用日志文件系统驱动程序的漏洞正在被利用。微软还发现，Vice Society 利用PrintNightmare漏洞来提升他们对系统的访问权限。