# Vice Society ## Visão Geral Vice Society (rastreado pela Microsoft como DEV-0832 / Vanilla Tempest) e um grupo de intrusão, extorcao e ransomware que emergiu no verao de 2021. Diferente da maioria dos grupos RaaS, o Vice Society conduz suas proprias intrusoes sem um modelo de afiliados, utilizando ferramentas de terceiros como [[s0617-hellokitty-ransomware|Hello Kitty/Five Hands]] e [[zeppelin-ransomware|Zeppelin ransomware]] ao inves de desenvolver arsenal proprio. O grupo ficou notorio por atacar **desproporcionalmente o setor de educação** - especialmente escolas K-12 nos EUA - mas também atingiu hospitais, manufatura e governo no Brasil, Argentina e Europa. Em 2023, evidências fortes indicam que o grupo migrou para operar sob o banner do **[[rhysida-ransomware|Rhysida ransomware]]**, mantendo os mesmos TTPs nucleares. ## Alvos Prioritarios ```mermaid graph TB A["Vice Society<br/>Intrusion + Extortion Group<br/>Summer 2021 - Jul 2023"] --> B["Educacao<br/>K-12 escolas EUA<br/>Universidades"] A --> C["Saude<br/>Hospitais regionais<br/>Clinicas medicas"] A --> D["Manufatura<br/>Brasil confirmado<br/>Argentina, Israel"] A --> E["Governo Local<br/>Prefeituras, agencias<br/>Transporte publico"] style A fill:#e74c3c,color:#fff style B fill:#3498db,color:#fff style C fill:#e67e22,color:#fff style D fill:#196f3d,color:#fff style E fill:#8e44ad,color:#fff ``` ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>PrintNightmare exploit (CVE-2021-34527)<br/>Credenciais comprometidas (T1190)"] --> B["🔐 Escalada<br/>Zerologon (CVE-2020-1472)<br/>Mimikatz + acesso a DC"] B --> C["🔀 Movimento Lateral<br/>RDP / Admin shares<br/>Cobalt Strike + SystemBC C2"] C --> D["📦 Exfiltração<br/>Centenas de GB extraidos<br/>Mega.nz para staging"] D --> E["💥 Ransomware<br/>Hello Kitty ou Zeppelin<br/>Mudanca senhas de rede"] E --> F["💰 Dupla Extorsao<br/>Vice Society Leaks site<br/>Prazo: paga ou vazamos"] style A fill:#e74c3c,color:#fff style B fill:#e67e22,color:#fff style C fill:#2980b9,color:#fff style D fill:#8e44ad,color:#fff style E fill:#196f3d,color:#fff style F fill:#f39c12,color:#fff ``` ## Relevância para o Brasil e LATAM > [!warning] Brasil Alvo Confirmado no Setor de Manufatura > A Trend Micro reportou deteccoes de atividade do Vice Society no setor de manufatura **específicamente no Brasil** em 2023. Argentina também foi listada como pais afetado. O grupo demonstra disposicao em escalar ataques para LATAM alem dos alvos educacionais nos EUA. Organizacoes de manufatura, saúde e governo no Brasil devem considerar o Vice Society (e seu possível sucessor Rhysida) como ameaça ativa. ## Caracteristicas Operacionais Distintas - **Sem modelo RaaS:** Conduz proprias intrusoes (mais sigilo, menos exposicao) - **Tempo de permanencia curto:** Dwell time documentado de apenas **6 dias** antes da detecção - **Sazonalidade:** Evidências de ataques sincronizados com calendario academico (inicio de ano letivo) - **Evolução:** Nao usa arsenal proprio; adapta ferramentas disponiveis (HelloKitty, Zeppelin, Rhysida) - **Mudança de senhas:** Trocam senhas de contas de rede para impedir remediacao rapida ## Ataques Notaveis | Data | Vitima | Impacto | |------|--------|---------| | Set 2022 | LAUSD (Los Angeles USD) | Brecha massiva; dados estudantes/funcionarios | | 2022 | 33 escolas nos EUA | Vazadas no leak site do grupo | | Nov 2022 | SF Muni Transit | Disrupcao de sistema de transporte | | 2023 | Empresas brasileiras de manufatura | Detectado pela Trend Micro | | 2023 | Empresas na Argentina | Confirmado por pesquisadores | ## Posivel Transicao para Rhysida A Sophos identificou o cluster TAC5279 migrando do Vice Society para o Rhysida em meados de 2023: - Vice Society ultimo vazamento: julho de 2023 - Rhysida primeiro vazamento: ao mesmo tempo - TTPs identicos: SystemBC, PortStarter, técnicas de exfiltração - Inferencia: operadores migraram para nova "marca", mantendo mesma infraestrutura ## Técnicas Utilizadas - [[t1068-exploitation-for-privilege-escalation|T1068]] - PrintNightmare (CVE-2021-1675 / CVE-2021-34527) - [[cve-2020-1472|CVE-2020-1472]] - Zerologon para comprometer domain controller - [[t1190-exploit-public-facing-application|T1190]] - Credenciais comprometidas em aplicações expostas - [[t1574-002-dll-side-loading|T1574.002]] - DLL side-loading para injecao de payloads - [[t1021-001-remote-desktop-protocol|T1021.001]] - RDP para movimento lateral - [[t1486-data-encrypted-for-impact|T1486]] - Criptografia com Hello Kitty / Zeppelin - [[t1080-taint-shared-content|T1080]] - Contaminacao de drives de rede compartilhados ## Software Utilizado - [[s0617-hellokitty-ransomware|Hello Kitty / Five Hands]] - Ransomware usado em ataques iniciais - [[zeppelin-ransomware|Zeppelin]] - Ransomware alternativo utilizado - [[rhysida-ransomware|Rhysida]] - Possível evolução/rebranding (2023+) - [[s0154-cobalt-strike|Cobalt Strike]] - Framework C2 pos-comprometimento - [[s0533-systembc|SystemBC]] - Proxy Tor e ferramenta de administracao remota - PowerShell Empire - Movimento lateral e evasão --- *Fontes: [FBI/CISA Advisory AA22-249A](https://www.azed.gov/sites/default/files/2022/09/AA22-249A%20Stop%20Ransomware%20Vice%20Society.pdf) | [Sophos TAC5279 Report](https://www.sophos.com/en-us/blog/vice-society-and-rhysida-ransomware) | [Huntress Vice Society Profile](https://www.huntress.com/threat-library/threat-actors/vice-society)*