Главная
Ст 256 ук рф комментарий: Статья 256. Незаконная добыча (вылов) водных биологических ресурсов — Оренбург

Ст 256 ук рф комментарий: Статья 256. Незаконная добыча (вылов) водных биологических ресурсов — Оренбург

Содержание

Прокурор разъясняет — Прокуратура Волгоградской области

Прокурор разъясняет

  • 17 декабря 2020, 21:40

В чем разница между административной и уголовной ответственностью за незаконный вылов рыбы?

  Текст

  Поделиться

На вопрос отвечает прокурор Еланского района Волгоградской области Громов Р.

А.

В соответствии с Уголовным кодексом РФ и постановлением Пленума Верховного Суда РФ от 23.11.2010 № 26 2О некоторых вопросах применения судами законодательства об уголовной ответственности в сфере рыболовства и сохранения водных биологических ресурсов (часть 2 статьи 253, статьи 256, 258.1 УК РФ)» преступными действиями, образующими объективную сторону преступления, предусмотренного ст. 256 УК РФ является — добыча (вылов) водных биологических ресурсов, то есть действия, направленные на их изъятие из среды обитания и (или) завладение ими, совершенные с нарушением норм экологического законодательства но только в случаях, указанных в пунктах «а — г» части 1 статьи 256 УК РФ (с причинением крупного ущерба; с применением самоходного транспортного плавающего средства или взрывчатых и химических веществ, электротока или других запрещенных орудий и способов массового истребления водных биологических ресурсов; в местах нереста или на миграционных путях к ним; на особо охраняемых природных территориях либо в зоне экологического бедствия или в зоне чрезвычайной экологической ситуации).

Если же вылов рыбы осуществляется хотя и с нарушением норм экологического законодательства (например, без полученного в установленном законом порядке разрешения, в запрещенное время либо иное), но без вышеуказанных квалифицирующих признаков, установленных п.п. «а — г» ч. 1 ст. 256 УК РФ, такие действия образуют состав административного правонарушения, предусмотренного ст. 8.37 ч. 2 или ст. 8.17 ч. 2 КоАП РФ.

В чем разница между административной и уголовной ответственностью за незаконный вылов рыбы?

На вопрос отвечает прокурор Еланского района Волгоградской области Громов Р.А.

В соответствии с Уголовным кодексом РФ и постановлением Пленума Верховного Суда РФ от 23.11.2010 № 26 2О некоторых вопросах применения судами законодательства об уголовной ответственности в сфере рыболовства и сохранения водных биологических ресурсов (часть 2 статьи 253, статьи 256, 258.1 УК РФ)» преступными действиями, образующими объективную сторону преступления, предусмотренного ст.

256 УК РФ является — добыча (вылов) водных биологических ресурсов, то есть действия, направленные на их изъятие из среды обитания и (или) завладение ими, совершенные с нарушением норм экологического законодательства но только в случаях, указанных в пунктах «а — г» части 1 статьи 256 УК РФ (с причинением крупного ущерба; с применением самоходного транспортного плавающего средства или взрывчатых и химических веществ, электротока или других запрещенных орудий и способов массового истребления водных биологических ресурсов; в местах нереста или на миграционных путях к ним; на особо охраняемых природных территориях либо в зоне экологического бедствия или в зоне чрезвычайной экологической ситуации).

Если же вылов рыбы осуществляется хотя и с нарушением норм экологического законодательства (например, без полученного в установленном законом порядке разрешения, в запрещенное время либо иное), но без вышеуказанных квалифицирующих признаков, установленных п.п. «а — г» ч. 1 ст. 256 УК РФ, такие действия образуют состав административного правонарушения, предусмотренного ст. 8.37 ч. 2 или ст. 8.17 ч. 2 КоАП РФ.

Постановление Пленума ВС об уголовной ответственности в сфере рыболовства и сохранения водных биологических ресурсов

Обсудив результаты обобщения практики применения судами законодательства об ответственности за преступления, предусмотренные статьями 253 и 256 Уголовного кодекса Российской Федерации (далее УК РФ), Пленум Верховного Суда Российской Федерации отмечает, что судами в основном соблюдаются требования законодательства и учитываются разъяснения, содержащиеся в постановлении Пленума Верховного Суда Российской Федерации от 5 ноября 1998 года N 14 «О практике применения судами законодательства об ответственности за экологические правонарушения».

Вместе с тем имеются случаи неправильного применения законодательства, что приводит к судебным ошибкам. Суды неодинаково квалифицируют действия лиц, совершивших незаконную добычу (вылов) водных биологических ресурсов с применением самоходного транспортного плавающего средства, запрещенных орудий лова, а также иных способов массового истребления водных животных и растений.

По-разному судами решаются вопросы о конфискации транспортных плавающих средств и иных орудий совершения незаконной добычи (вылова) водных биологических ресурсов, в том числе при исследовании, поиске, разведке, разработке природных ресурсов континентального шельфа Российской Федерации и исключительной экономической зоны Российской Федерации, проводимых без соответствующего разрешения.

Нуждается в уточнении содержание некоторых понятий, используемых в нормах об уголовной ответственности за деяния в сфере рыболовства и сохранения водных биологических ресурсов с учетом общепризнанных принципов и норм международного права и международных договоров Российской Федерации.

В целях дальнейшего совершенствования деятельности судов по применению экологического законодательства Пленум Верховного Суда Российской Федерации, руководствуясь статьей 126 Конституции Российской Федерации, постановляет:

1. Обратить внимание судов на то, что рыболовство и сохранение водных биологических ресурсов регулируются не только федеральным законодательством, но и нормативными правовыми актами субъектов Российской Федерации. В связи с этим судам для обеспечения правильного применения законодательства при рассмотрении уголовных дел в каждом конкретном случае необходимо устанавливать и отражать в приговоре, какие правовые нормы были нарушены в результате совершения преступления.

Решая вопрос о законности или незаконности добычи (вылова) водных биологических ресурсов, судам следует учитывать законодательство Российской Федерации и положения действующих для Российской Федерации международных договоров. Если международные договоры Российской Федерации в области рыболовства и сохранения водных биоресурсов устанавливают иные правила, чем те, которые предусмотрены законодательством о рыболовстве и сохранении водных биологических ресурсов, применяются правила этих международных договоров.

2. Разъяснить судам, что уголовная ответственность по части 2 статьи 253 УК РФ за исследование, поиск, разведку, разработку природных ресурсов континентального шельфа Российской Федерации или исключительной экономической зоны Российской Федерации наступает в случаях, когда такие деяния совершены без обращения в уполномоченные федеральные органы исполнительной власти за получением разрешения (лицензии) или после подачи заявки на лицензирование, но без получения разрешения (лицензии) или при отказе в лицензировании либо после получения положительного ответа о лицензировании, но до регистрации лицензии, либо после истечения срока действия лицензии, или после выбора указанной в разрешении (лицензии) квоты.

При определении понятия «исключительная экономическая зона Российской Федерации» необходимо учитывать положения статьи 1 Федерального закона «Об исключительной экономической зоне Российской Федерации», а при определении понятия «континентальный шельф Российской Федерации» — положения статьи 1 Федерального закона «О континентальном шельфе Российской Федерации».

Вылов водных биологических ресурсов, совершенный в целях научно-исследовательских работ, поиска и разработки природных ресурсов континентального шельфа Российской Федерации или исключительной экономической зоны Российской Федерации без специального разрешения, полностью охватывается частью 2 статьи 253 УК РФ, если лицом не осуществлялась незаконная добыча (вылов) водных биологических ресурсов при наличии признаков, предусмотренных в частях 1 и 3 статьи 256 УК РФ. Уголовная ответственность в таких случаях, при наличии к тому оснований, наступает по соответствующим частям статьи 256 УК РФ.

3. Под незаконной добычей (выловом) водных биологических ресурсов (статья 256 УК РФ) судам следует понимать действия, направленные на их изъятие из среды обитания и (или) завладение ими в нарушение норм экологического законодательства (например, без полученного в установленном законом порядке разрешения, в нарушение положений, предусмотренных таким разрешением, в запрещенных районах, в отношении отдельных видов запрещенных к добыче (вылову) водных биологических ресурсов, в запрещенное время, с использованием запрещенных орудий лова), при условии, что такие действия совершены лицом с применением самоходного транспортного плавающего средства, взрывчатых или химических веществ, электротока либо иных способов массового истребления водных животных и растений, в местах нереста или на миграционных путях к ним, на особо охраняемых природных территориях, в зоне экологического бедствия или в зоне чрезвычайной экологической ситуации либо, когда такие действия повлекли причинение крупного ущерба.

Судам в каждом случае необходимо устанавливать и отражать в приговоре, в чем конкретно выразились незаконная добыча (вылов) или способ вылова водных биологических ресурсов с указанием нормы федерального закона, других нормативных правовых актов, регулирующих осуществление рыболовства, которые были нарушены.

4. При отнесении ущерба, причиненного незаконной добычей (выловом) водных биологических ресурсов, к крупному (пункт «а» части 1 статьи 256 УК РФ), судам надлежит исходить из количества и стоимости добытого, поврежденного и уничтоженного, распространенности особей, их отнесения в установленном порядке к специальным категориям, а также учитывать нанесенный их добычей ущерб водным биологическим ресурсам.

К такому ущербу следует, в частности, относить: гибель большого числа неполовозрелых рыб (мальков), вылов или уничтожение рыб и растений, занесенных в Красную книгу Российской Федерации или Красную книгу субъекта Российской Федерации, уничтожение мест нереста, зимовальных ям, нагульных площадей, ухудшение качества среды обитания водных биологических ресурсов и нарушение процесса их воспроизводства. Для правильной оценки причиненного ущерба могут привлекаться соответствующие специалисты или эксперты.

5. К самоходным транспортным плавающим средствам следует относить те из них, которые оснащены двигателями (например, суда, яхты, катера, моторные лодки), а также иные плавающие конструкции, приводимые в движение с помощью мотора (пункт «б» части 1 статьи 256 УК РФ). При этом должно быть установлено, что данное самоходное транспортное плавающее средство непосредственно использовалось как орудие добычи водных биологических ресурсов (например, для установки и (или) снятия рыболовной сети).

6. Под иными способами массового истребления водных животных и растений понимаются действия, связанные с применением таких незаконных орудий лова, которые повлекли либо могли повлечь массовую гибель водных биологических ресурсов, отрицательно повлиять на среду их обитания: прекращение доступа кислорода в водный объект посредством уничтожения или перекрытия источников его водоснабжения, спуск воды из водных объектов, перегораживание водоема (например, реки, озера) орудиями лова более чем на две трети его ширины, применение крючковой снасти типа перемета, лов рыбы гоном, багрение, использование запруд, применение огнестрельного оружия, колющих орудий.

Решая вопрос о том, совершено ли преступление с применением способов массового истребления водных биологических ресурсов, судам надлежит не только исходить из того, какой запрещенный вид орудия лова или способ вылова был применен, но и устанавливать, может ли их применение с учетом конкретных обстоятельств дела повлечь указанные последствия. В необходимых случаях к исследованию свойств таких орудий лова или примененных способов добычи (вылова) водных биологических ресурсов надлежит привлекать соответствующих специалистов либо экспертов.

7. При квалификации действий лица, совершившего незаконную добычу (вылов) водных биологических ресурсов с применением способов их массового истребления, суду следует руководствоваться нормативными правовыми актами, регламентирующими порядок добычи водных биоресурсов и устанавливающими запреты, в том числе относящиеся к орудиям лова, способам, местам вылова и др.

Если установлено, что в ходе вылова применялись такие орудия лова, использование которых не могло повлечь массового истребления водных животных и растений при отсутствии иных способов их массового вылова, в действиях такого лица отсутствует состав преступления, предусмотренный пунктом «б» части 1 статьи 256 УК РФ.

8. Местом нереста следует признавать, например, море, реку, водоем или часть водоема, где рыба мечет икру, а под миграционным путем к нему — проходы, по которым рыба идет к месту нереста. Если водный объект имеет небольшие размеры (например, озеро, пруд, запруда) и нерест происходит по всему водоему, он с учетом установленных фактических обстоятельств может быть признан местом нереста (пункт «в» части 1 статьи 256 УК РФ).

Квалификация незаконной добычи (вылова) водных биологических ресурсов по признаку совершения деяния в местах нереста или на миграционных путях к ним возможна лишь при условии совершения этих действий в период нереста или миграции к местам нереста. Совершение такого деяния вне этих сроков или с помощью орудий лова, применение которых не причиняет вред нерестящимся особям, не подлежит признанию преступным по данному признаку.

9. Для установления факта добычи водных биологических ресурсов в запрещенных районах: в местах нереста или миграционных путях к ним, на особо охраняемых природных территориях, а также в зоне экологического бедствия или в зоне чрезвычайной экологической ситуации (пункты «в» и «г» части 1 статьи 256 УК РФ), судам надлежит исследовать данные, определяющие такой район промысла с описанием ориентиров или географических координат.

10. В тех случаях, когда действия лица, непосредственно направленные на незаконную добычу водных биологических ресурсов (например, начало установки орудий лова, непосредственная подготовка к применению для вылова рыбы и других водных биологических ресурсов взрывчатых или химических веществ, электротока), были пресечены в установленном законом порядке, содеянное им надлежит квалифицировать по части 3 статьи 30 УК РФ и соответствующей части статьи 256 УК РФ.

11. Исходя из положений пункта 1 части 3 статьи 81 УПК РФ о том, что орудия преступления, принадлежащие обвиняемому, подлежат конфискации, суду при поступлении уголовного дела о преступлении, предусмотренном статьей 256 УК РФ, необходимо выяснять, приняты ли меры по обеспечению возможной конфискации орудий преступления.

При наличии оснований, указанных в статье 230 УПК РФ, суд вправе по собственной инициативе или по ходатайству потерпевшего, гражданского истца либо их представителей, а также прокурора при подготовке дел к судебному заседанию принять меры для обеспечения возможной конфискации имущества.

В соответствии с требованием пункта 2 части 1 статьи 309 УПК РФ в резолютивной части приговора надлежит решить вопрос о вещественных доказательствах, в том числе о конфискации в порядке пункта «г» части 1 статьи 104 [1] УК РФ орудий незаконной добычи (вылова) водных биологических ресурсов, оборудования или иных средств совершения преступления, принадлежащих обвиняемому (например, эхолотов, навигаторов).

При конфискации судна (самоходного или несамоходного), суду необходимо выяснить, не является ли оно для подсудимого основным законным источником средств к существованию (например, добыча водных биологических ресурсов для обеспечения жизнедеятельности коренных малочисленных народов Севера, Сибири и Дальнего Востока).

12. Если действия, связанные с незаконной добычей (выловом) водных биологических ресурсов, совершенные лицом с применением самоходного транспортного плавающего средства либо в местах нереста или на миграционных путях к ним, или на особо охраняемых природных территориях, хотя формально и содержали признаки преступления, предусмотренного частью 2 статьи 253 или статьей 256 УК РФ, но в силу малозначительности не представляли общественной опасности, когда не использовались способы массового истребления водных животных и растений, суд вправе прекратить уголовное дело на основании части 2 статьи 14 УК РФ.

При этом основанием для признания действий подсудимого малозначительными может служить, например, незначительные количество и стоимость выловленной рыбы, отсутствие вредных последствий для окружающей среды, а также используемый способ добычи, который не являлся опасным для биологических, в том числе и рыбных, ресурсов.

13. Судам надлежит устанавливать обстоятельства, способствовавшие совершению преступлений, предусмотренных статьями 253 и 256 УК РФ, нарушения прав и свобод граждан, а также другие нарушения закона, допущенные при производстве дознания, предварительного следствия о незаконной добыче водных биологических ресурсов, нарушения законодательства Российской Федерации о континентальном шельфе и об исключительной экономической зоне Российской Федерации, а также реагировать на нарушения, допущенные при рассмотрении таких дел нижестоящими судами. В каждом таком случае в соответствии с частью 4 статьи 29 УПК РФ необходимо выносить частные постановления (определения), обращая внимание соответствующих организаций и должностных лиц на данные обстоятельства и факты нарушения закона, требующие принятия необходимых мер для их устранения.

Председатель Верховного Суда Российской Федерации
В. Лебедев
Секретарь Пленума, судья Верховного Суда Российской Федерации
В. Дорошков

Вот что нужно знать о его последнем деле

Как обсуждалось ранее (здесь и здесь), Чрезвычайные палаты в судах Камбоджи (ЧПСК) закрываются после 16 лет работы, и трое обвиняемых осуждены, двое из которых отбывают наказание тюремные сроки.

22 сентября Палата Верховного суда (ВСС) ЧПСК вынесла краткое изложение своего последнего решения по существу по делу 002/02, подтвердив обвинительный приговор в отношении Кхиеу Самфана, бывшего главы государства Демократическая Кампучия. Этот режим, также известный как «красные кхмеры», организовал смерть почти 2 миллионов человек в период между 19 и 19 веками.75 и 1979 г. 

Много было сказано о политическом характере трибунала и не столь уж скрытых планах премьер-министра Камбоджи Хун Сена о досрочном прекращении судебного разбирательства, несмотря на длительные расследования (с закрытием четырех дел). Помимо политики, чем запомнится Дело 002/02 (и ЧПСК)? В этой статье обсуждаются шесть выводов из крупнейшего дела ЧППК — и одного из крупнейших в истории международного уголовного права — в преддверии предстоящего полного «нескольких сотен страниц» Апелляционного решения (пункт 8).

1.
Понятие неавторитетного краткого оглашения приговора

Несмотря на то, что мир тепло принял 34-страничное изложение апелляционного решения, опубликованное 22 сентября, апелляционное решение по делу 002/02 технически еще не вынесено. Как указывает ТПС, «только [предстоящее] полное письменное решение имеет силу» (пункт 8). Резюме только подчеркивает выводы и не является авторитетным решением по делу 002/02 (пункт 8).

ЧПСК сделал выдачу резюме дел неписаной практикой из-за длины решений и необходимости перевода на три официальных языка трибунала – английский, французский и кхмерский. (Например, Судебная палата представила 33-страничное резюме своего решения по делу 002/01 16 ноября 2018 г. , а полностью мотивированное заключение несколько месяцев спустя, 28 марта 2019 г.).

2. Кит среди дел ЧПСК

Дело 002 было крайне сложным из-за 40-летнего перерыва между совершением преступлений и их преследованием, внутриполитической обструкцией, бюджетными ограничениями ЧПСК, преклонным возрастом обвиняемых и количеством задействованных материалов. Только обвинительное заключение по делу 002 (заключительный приказ) составляет 402 страницы с дополнительными 339 страницами сносок. Из-за своего размера дело 002 было неуклюже разделено на два дела (дело 002/01 и дело 002/02), из которых основная часть обвинений досталась делу 002/02.

Решение суда по делу 002/02 насчитывает более 2200 страниц. Для сравнения, судебное решение по делу 002/01 в отношении тех же подсудимых, Нуона Чеа (бывшего заместителя секретаря Коммунистической партии Кампучии) и Кхиеу Самфана, состоит «всего» из 630 страниц.

Предстоящее решение по апелляции по делу 002/02 рассматривает апелляцию Самфана (770 страниц), ответ сообвинителя на апелляцию (504 страницы) и представление ведущих союристов Гражданской партии – также в качестве ответа на апелляцию – (316 страниц), всего 3858 страниц.

В своей апелляции защита Самфана утверждает о 1824 ошибках (пункт 13), которые в сумме составляют ошеломляющие 256 оснований для апелляции.

Кроме того, в деле 002 имеется 106 836 конфиденциальных и 4 763 строго конфиденциальных документа. По делу 002/02 в качестве гражданских истцов было признано 3 865 потерпевших, а Судебная камера заслушала показания 185 лиц, включая 114 свидетелей, 63 гражданских истца и восемь экспертов. .

Количество материалов, рассмотренных ТПС по делу 002/02, было беспрецедентно значительным не только по сравнению с другими делами ЧПСК, но и с международной (оформленной) уголовной практикой в ​​целом.

3.  Неуклюжее разделение производства по делу 002 на его дела 002/01 и 002/02

Учитывая беспрецедентный размер дела 002, Судебная палата (по вполне понятным причинам) решила разделить производство на две части: дела 002/01 и 002/02.

Судебная палата несколько раз пыталась разделить (здесь, здесь, здесь, здесь, здесь и здесь) – в ходе процесса ТПС подвергался резкой критике за то, что он не консультировался со сторонами разбирательства относительно того, что должно быть включено в дело 002/01. и Дело 002/02. В конечном итоге Дело 002 было разделено следующим образом:

  • Дело 002/01: насильственное перемещение населения и казнь солдат Кхмерской Республики.
  • Дело 002/02: Геноцид групп чань и вьетнамцев, нападения на должностных лиц Кхмерской Республики, обращение с буддистами, принудительные браки и изнасилования, внутренние чистки, преступления на рабочих местах (дамба 1 Ян, аэропорт Кампонгчнанг и плотина Трапеанг Тма), преступления в центрах безопасности (S-21, Kraing Ta Chan, Au Kanseng, Phnom Kraol) и преступлениях в кооперативах Tram Kok.

Судебная палата зарезервировала (непропорциональную) часть расследования для второго судебного разбирательства, что объясняет объем материалов, рассмотренных в деле 002/02.

Неравное распределение обвинений между делом 002/01 и делом 002/02 (на основании недавно принятого внутреннего правила 89 ter ) отражает заинтересованность Судебной камеры в завершении хотя бы части разбирательства в отношении двух пожилых обвиняемых. Такой подход удался, поскольку и Чеа, и Самфан были осуждены по делу 002/01. После смерти Чеа в 2019 году, производство по делу 002/02 является окончательным только в отношении Самфана.

4. Безуспешные попытки ТПС убедить Судебную палату создать вторую судебную коллегию по делу 002/02

В связи с решением Судебной палаты отделить дело 002, ТПС первоначально предложил (пункт 51), затем распорядился и, в конечном счете, повторил, что создание второй коллегии Судебной палаты для рассмотрения утверждений по делу 002/02 было обязательным (пункт 51). 74). Однако доводы СК не увенчались успехом.

В Законе о ЧППК или в Правилах внутреннего распорядка нет оснований для создания второй коллегии Судебной палаты. Административное управление ЧПСК намекнуло, что, если не вносить поправки в Соглашение между ООН и Камбоджей для размещения второй коллегии, Председатель Судебной палаты мог вместо этого полагаться на статью 3(8) Соглашения между ООН и Камбоджей, касающуюся заместителей судей, поскольку потенциальной основой для второй судебной комиссии. Однако Председатель Судебной палаты был категорически против создания второй коллегии Судебной палаты и пояснил, что: 

«назначение второй коллегии Судебной палаты для заслушивания остальных обвинений по делу 002/02 не отвечает интересам правосудия, поскольку это было бы менее оперативным, чем разбирательство в составе существующей судебной коллегии, которая уже знакома с делом» (пункты 4, 10).

Вторая Судебная Палата так и не была сформирована.

Как и предсказывал ТПС, неспособность создать вторую судебную коллегию привела к ряду обвинений в предвзятости, объясняющих тот факт, что те же судьи, которые осудили Чеа и Самфана по делу 002/01, также решат их судьбу по делу 002/02.

5. Специальные комиссии по рассмотрению нескольких утверждений о предвзятости Судебной палаты и судей ТПС

В то время как Председатель Судебной палаты отклонил создание второй судебной коллегии для рассмотрения дела 002/02 против Чеа и Самфана, Комитет судебного управления (JAC) полагался на Внутреннее правило 34 (6) для создания двух специальных коллегий для рассмотрения обвинения в предвзятости.

ЧПСК учредил Специальную коллегию Судебной палаты, а затем Специальную коллегию ТПС, чтобы принять решение о беспристрастности судей Судебной палаты (а позже судей ТПС) при решении обоих дел 002/01 и 002/02 против Чеа и Самфан.

Обвинения в предвзятости исходили из того факта, что те же судьи, которые осудили Чеа и Самфана по делу 002/01, будут рассматривать обвинения против них и их уголовную ответственность по делу 002/02. Специальная коллегия Судебной камеры пришла к выводу, что: (1) фактической предвзятости судей не было, поскольку два дела существенно различались, и что (2) не было также видимой предвзятости, поскольку Самфану не удалось установить, что разумная наблюдатель будет считать, что судьи Судебной камеры беспристрастны по отношению к нему (пункт 93-95).

Однако решение Специальной коллегии в отношении судей Судебной палаты предшествовало фактическому исходу дела 002/02: Специальная коллегия вынесла свое решение 30 января 2015 г., за полтора года до Судебная палата вынесла свое решение. Решение по делу 002/02. Таким образом, решение Коллегии относительно фактической предвзятости судей само по себе было гипотетическим.

6. ЧПСК никогда не рассматривал возможность совершения преступления геноцида против камбоджийского народа

Несмотря на широко признанные зверства режима красных кхмеров, ЧПСК никогда не рассматривал возможность того, что преступления, совершенные в период с 1975 по 1979 год, могли быть приравнены к геноциду против камбоджийского народа. Таким образом, заявления, последовавшие за обнародованием 34-страничного сводки 22 сентября, о том, что ЧПСК осудил бывшего главу государства за геноцид, вводят в заблуждение.

Самфан был единственным человеком, осужденным ЧПСК и привлеченным к ответственности за геноцид на окончательном приговоре. Однако осуждение Самфана за геноцид — нисколько не умаляя его значения — относится только к геноциду в отношении вьетнамского меньшинства (20 000 человек) по сравнению с примерно 1,5 миллионами камбоджийского большинства, которое погибло за тот же период. (ECCC также признал Чеа по делу 002/02 виновным в геноциде против вьетнамцев и населения чамов, но он скончался до завершения судебного процесса над ним). Ни один из других обвинительных приговоров по делу 002/02 не связан с возможным признанием преступления геноцида, совершенного против (большинства) камбоджийского народа.

ECCC даже не судил никого из подсудимых за геноцид против камбоджийцев. Более того, ЧПСК никогда не характеризовал зверства, совершенные против камбоджийского народа, как геноцид: в своем заключительном постановлении судьи, ведущие совместное расследование, даже не рассмотрели возможность того, что преступления, совершенные против камбоджийского народа, составили геноцид, без каких-либо объяснений. относительно того, почему судьи, ведущие совместное расследование, приняли такое решение. ( см. отдельное мнение судьи Судебной палаты Ю Оттара , пункт 4468).

Хотя Адама Диенг, специальный советник по предотвращению геноцида, отметил, что 22 сентября было «хорошим днем ​​для правосудия», оно могло бы быть еще лучше (и более справедливым), если бы судьи, ведущие совместное расследование, были включены в число возможных преступление геноцида против камбоджийского народа в их обвинительном заключении. Двери ECCC закрываются, и у международного трибунала остается несколько вариантов, чтобы рассмотреть вопрос о том, являются ли преступления против камбоджийского народа геноцидом.

Вывод

Заключительное дело ЧППК, которое является одним из самых существенных в истории международного (низированного) уголовного права, содержит важные уроки того, как не смешивать внутреннюю политику с международным правопорядком, и поднимает вопрос о том, существует ли право на справедливое международное(низированное) испытание . Кроме того, само количество информации и продолжительность обвинительных приговоров фактически маскируют важность международно-правового анализа, представленного в решениях, что делает объективный и непредвзятый анализ третьей стороны еще более пугающим.

Масштабы этого дела беспрецедентны с учетом множества рассмотренных преступлений и мест совершения преступлений, со сложностями установления фактов через 30 лет после их совершения, с культурными различиями, политическим вмешательством и нечеткими ограничениями личной юрисдикции ЧПСК. Но ученые и комментаторы не должны упрощать дело 002/02 или, что еще хуже, отклонять его из-за политического вмешательства или отсутствия каких-либо видимых изменений в тюремном заключении Самфана. Это может в конечном итоге скрыть правду об этих преступлениях и наследие их жертв.

ИЗОБРАЖЕНИЕ:  турист смотрит на портреты жертв режима красных кхмеров, выставленные в музее геноцида Туол Сленг в Пномпене, Камбоджа. (Фото Тан Чхин Соти / AFP через Getty Images)

Рубрика:

Подотчетность, Камбоджа, Преступления против человечности, Чрезвычайные палаты в судах Камбоджи, геноцид, Международное уголовное право, Красные кхмеры, Массовые зверства, Организация Объединенных Наций, Вьетнам

Профилирование постоянной угрозы для сектора образования

Автор JR Gumarin

Категория: Программы-вымогатели

, Vice Society, WildFire

Резюме

Vice Society — банда вымогателей, которая в этом году участвовала в широкомасштабной деятельности против школ. В отличие от многих других групп программ-вымогателей, таких как LockBit, которые следуют типичной модели программы-вымогателя как услуги (RaaS), операции Vice Society отличаются тем, что они известны тем, что используют ответвления ранее существовавших семейств программ-вымогателей в своей цепочке атак, которые продаются на торговых площадках DarkWeb. К ним относятся штаммы программ-вымогателей HelloKitty (также известные как FiveHands) и Zeppelin, в отличие от Vice Society, разрабатывающего свою собственную полезную нагрузку.

В сентябре 2022 года совместный консультант по кибербезопасности (CSA) ФБР, CISA и MS-ISAC заявил, что они недавно наблюдали за тем, как участники Vice Society непропорционально атакуют сектор образования с помощью программ-вымогателей. CSA продолжило, что количество атак может увеличиться с началом 2022-23 учебного года, и преступные группы программ-вымогателей видят возможности для успешных атак.

Vice Society впервые появилось летом 2021 года, и в то время было замечено, что оно использует 9Уязвимость 0033 CVE-2021-34527 (также известная как PrintNightmare) как часть их цепочки атак. Банда также известна тем, что нацеливается на резервные копии и эксфильтрацию данных из скомпрометированных систем, чтобы использовать их с целью двойного вымогательства, распространенной тактики операций с программами-вымогателями, когда жертв заставляют платить определенную сумму выкупа в обмен на расшифровку и избегать публикации конфиденциальных данных. на специальном сайте утечки злоумышленника.

Клиенты Palo Alto Networks получают защиту от программ-вымогателей, используемых Vice Society, от Cortex XDR, а также от облачной службы безопасности WildFire для брандмауэра следующего поколения. Группа реагирования на инциденты Unit 42 также может помочь с компрометацией или предоставить упреждающую оценку для снижения вашего риска.

Содержание

Хронология деятельности Vice Society
Исследование жертв Vice Society
Географическое влияние
Затронутые отраслевые вертикали
Сравнение метрик сайта утечки
Unit 42 Данные реагирования на инциденты в Vice Society
Vice Society Технические подробности

Leak15 Usopsis9
Использование Zeppelin
Заключение
Тактика, методы и процедуры (TTP)
Индикаторы компрометации (IoC)
Дополнительные ресурсы

Vice Society Timeline

Ранние отчеты о группе вымогателей Vice Society были опубликованы в Твиттере исследователями вредоносных программ, такими как Майкл Гиллеспи. В этих твитах показаны полезные нагрузки программы-вымогателя HelloKitty, добавляющие расширение .v-society к зашифрованным файлам 10 июня 2021 года. Vice Society заразила жертв HelloKitty.

  • В 2021 и 2022 годах Vice Society использовала Zeppelin для нападения на хосты Windows.
    • Во время заражения в 2021 году эти злоумышленники также использовали уязвимости, такие как PrintNightmare, для повышения привилегий и бокового распространения по целевым сетям.

    • Основываясь на активности в местах утечки, которую мы наблюдали в последние месяцы, как показано на рисунке 1, мы увидели небольшой всплеск в переломный момент с 2021 по 2022 год. За ним последовал один большой всплеск активности в конце весны 2022 года.

    Рисунок 1. Хронология деятельности Vice Society (данные всех жертв сайта утечки).

    Перенесемся в осень 2022 года, когда мы увидели еще одну волну активности Vice Society в секторе образования, как показано на рис. 2, что вызвало поток рекомендаций и отчетов о группе.

    Заметные всплески весны и осени дают нам намек на некоторые из их мотивов. Поскольку образовательные организации являются основной целью группы, это может указывать на то, что они приурочивают кампании к уникальному календарному году в этом секторе. Учебный год для большинства учебных заведений США обычно начинается в конце августа-сентябре и заканчивается в июне. Возможно, они пытались рассчитать время своих атак в 2022 году с переходами начала и конца учебного года.

    Рис. 2. Хронология деятельности Vice Society (данные о жертвах утечки с сайта образования).

    Study of Vice Society’s Victims

    Vice Society печально известна тем, что нацеливается на сектор образования — в частности, K-12 и высшие учебные заведения (как упоминалось в недавнем бюллетене CISA). Другие целевые секторы включают здравоохранение и неправительственные организации (НПО).

    Обычными целями являются предприятия малого и среднего бизнеса, географическая направленность которых в настоящее время не очевидна. Скорее, как отмечается в отчете SOCRadar, Vice Society фокусируется на возможностях.

    В течение многих лет такие отрасли, как образование и здравоохранение, сталкивались со многими проблемами в борьбе с программами-вымогателями, которые делали их особенно привлекательными целями. Отсутствие бюджетных средств для систем и решений по обеспечению безопасности привело к тому, что многие организации используют устаревшее оборудование, не защищенное от последних уязвимостей.

    Другие проблемы, которые могут увеличить общую поверхность атаки этих организаций, включают трудности с контролем и управлением большим количеством личных устройств, принесенных студентами и сотрудниками. Эти персональные устройства представляют неотъемлемый риск, поскольку они могут взаимодействовать с личными файлами через облачные сервисы.

    Хотя в этих секторах могут быть специальные группы ИТ или безопасности, которые используют традиционные решения безопасности, такие как система обнаружения вторжений (IDS) или система предотвращения вторжений (IPS), субъекты угрозы программ-вымогателей используют живущие вне земли методы, которые могут эффективно обходить традиционные сигнатуры основанные на механизмах обнаружения. Эти тактики требуют платформы расширенного обнаружения и реагирования (XDR) для более надежного мониторинга поведения в сети.

    Секторы образования и здравоохранения также сталкиваются с общей проблемой поиска персонала, который должным образом обучен для борьбы с постоянной угрозой программ-вымогателей. И, наконец, многим из этих организаций поручено защищать наиболее конфиденциальную и ценную личную информацию (PII) любого сектора бизнеса.

    Географическое влияние

    Vice Society в первую очередь оппортунистична, и его целями являются организации по всему миру. Группа заразила организации, расположенные во всех регионах, как показано на рисунках 3 и 4, с наибольшим числом зараженных в США, за которыми следуют Великобритания, Испания, Франция, Бразилия, Германия и Италия.

    Рисунок 3. Глобальное географическое распределение организаций, перечисленных на сайте утечки Vice Society. Рисунок 4. Версия диаграммы глобального географического распределения организаций, перечисленных на сайте утечки Vice Society.

    В бюллетене CISA упоминается, что Vice Society несоразмерно нацелилась на образовательные учреждения в Соединенных Штатах. При более подробном рассмотрении данных о местах утечки группа, по-видимому, нацелена на большее количество образовательных организаций, базирующихся в Калифорнии, как показано на рисунке 5.

    Рисунок 5. Виктимология Vice Society США (все данные о жертвах мест утечки).

    Затронутые отраслевые вертикали

    Хотя Vice Society неоднократно упоминалась в заголовках новостей о нападениях на образовательные организации, они также вымогают деньги у жертв во многих других отраслевых вертикалях, как показано на рис. 6, в том числе в тех, которые обеспечивают критически важную инфраструктуру, такую ​​как здравоохранение, государственные учреждения и производство.

    Рисунок 6. Отраслевые вертикали, на которые нацелены Vice Society (данные сайта утечки).

    Сравнение показателей сайтов утечки

    Согласно анализу сайтов утечки программ-вымогателей, Unit 42 определила Vice Society как одну из 10 самых влиятельных групп вымогателей в 2022 году. По нашим оценкам, с момента начала работы в 2021 году Vice Society затронул более 100 организаций всего . Только в 2022 году произошло более 90 из общего числа опубликованных случаев заражения в местах утечек.

    Данные с сайта утечки показывают, что Vice Society оказала наибольшее влияние на образовательные организации в этом году: по крайней мере 33 учебных заведения были перечислены на специальном сайте группы для утечки программ-вымогателей. За этим воздействием следуют семейства программ-вымогателей, такие как LockBit 2.0 и 3.0, как показано на рис. 7.

    Рисунок 7. Основные семейства программ-вымогателей, нацеленных на образовательные учреждения в 2022 г. (данные с сайтов утечки).

    Блок 42 Данные о реагировании на инцидент в Vice Society

    С момента основания Vice Society в 2021 году Unit 42 проводил мероприятия по реагированию на инциденты (IR) с клиентами, на которых повлияло Vice Society. Давайте посмотрим на некоторые данные из этих инцидентов.

    Время ожидания

    В делах IR Unit 42 относительно Vice Society мы наблюдали время ожидания до шесть дней . Это представляет собой время, прошедшее между датой первоначальной компрометации и датой первоначального обнаружения.

    Требование выкупа

    При отслеживании операций группы программ-вымогателей Unit 42 принимает к сведению первоначальные и окончательные требования выкупа, предъявляемые каждой группой программ-вымогателей. Это позволяет нам лучше понять, насколько агрессивными могут быть требования конкретной банды вымогателей для конкретных отраслевых вертикалей, и получить общее представление о скорости, с которой конкретный участник может снизить свои требования после проведения переговоров.

    Наши наблюдения о требованиях выкупа Vice Society по делам IR включают:

    • Первоначальные требования этого актера могут превышать 1 миллион долларов.
    • Окончательные требования после переговоров достигли 460 000 долларов.
    • Разница между первоначальными требованиями и окончательными требованиями может быть значительной. Мы увидели снижение до 60%.

    Технические детали Vice Society

    Краткий обзор сайта утечки

    За последний год Vice Society управляла сайтами в сети Tor, используя следующий адрес .onion:
    vsociethok6sbprvevl4dlwbqrzyhxcxaqpvcqt5belwvsuxaxsutyad[.]onion

    20 октября основной адрес .onion стал неактивным, в то время как зеркало сайта оставалось активным: ssq4zimieeanazkzc5ld4v5hdibi2nzwzdibfh5n5w4pw5mcik76lzyd[.]onion видеоигра под названием «Grand Theft Auto: Vice City» (показана на рисунке 8).

    Рис. 8. Зеркало активного места утечки Vice Society (20 октября).

    25 октября исходный адрес .onion снова стал активным. Он был обновлен, чтобы включить дополнительные разделы блога. По состоянию на начало ноября на странице «Наш блог» была размещена одна статья, в которой подчеркивается дурная слава группы, как показано на рис. 9..

    Рисунок 9. Сайт утечки Vice Society, включая дополнительный контент блога (начало ноября).

    Новая страница «Наши партнеры» занимает место главной страницы предыдущего воплощения сайта утечки, включая ссылки для просмотра утекших данных жертвы.

    Новая страница «Для жертв» направляет жертв к записке с требованием выкупа, которая является частью цепочки заражения группы. Затем следуют дополнительные инструкции на случай, если жертва не ответит на одно из контактных писем, указанных в записке с требованием выкупа. В процессе вымогательства злоумышленник обычно дает жертвам семь дней на выполнение требований о выкупе, как показано на рис. 109.0003 Рисунок 10. Страница жертв утечки сайта Vice Society.

    Страница «Для журналистов» содержит раздел «Часто задаваемые вопросы» для ответов на общие вопросы о группе, как показано на рисунке 11.

    Рисунок 11. Страница журналистов сайта утечки Vice Society.

    Использование HelloKitty

    В начале наблюдаемых операций группы в 2021 году членские организации Vice Society использовали вариант программы-вымогателя HelloKitty в качестве основной полезной нагрузки в своей цепочке заражения.

    Это семейство программ-вымогателей впервые было замечено в декабре 2020 года, в первую очередь нацелено на системы Windows. Этот вариант получил свое название от мьютекса: HELLOKITTYMutex.

    В июле 2021 года, как описано в нашем HelloKitty ATOM, подразделение 42 наткнулось на образец Linux (ELF) с именем funny_linux.elf, в котором содержалась записка о выкупе, содержание которой было аналогично образцам HelloKitty для Windows. Этот образец Linux привел к обнаружению дополнительных образцов HelloKitty для Linux, относящихся к октябрю 2020 года. В марте 2021 года вариант HelloKitty Linux также был обнаружен в дикой природе для целевых серверов ESXi.

    Подобно разновидностям программ-вымогателей, таких как BlackCat, программе-вымогателям HelloKitty обычно требуется ключ для запуска, чтобы помешать усилиям по анализу. В случае с HelloKitty этот ключ обычно запутывается с помощью шифрования AES 256. Как упоминалось в нашем предыдущем отчете с подробным описанием новых семейств программ-вымогателей в 2021 году, HelloKitty имеет несколько флагов, которые можно установить в качестве аргументов командной строки, которые подробно описаны в таблице 1 связанного отчета.

    Рисунок 12. Записка о выкупе Vice Society с использованием программы-вымогателя HelloKitty.

    По завершении процесса шифрования к зашифрованным файлам обычно добавляется расширение в следующем формате: .v-society..

    Использование Zeppelin

    Как упоминалось ранее, группа Vice Society также известна тем, что использует другие семейства программ-вымогателей, такие как Zeppelin, как часть своей цепочки заражения. После запуска двоичный файл программы-вымогателя удаляет себя и оставляет на рабочем столе компьютера-жертвы записку с требованием выкупа под названием 9.0123 !!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!.TXT. Контактный адрес электронной почты, предоставленный злоумышленником, различается в разных примерах, но общедоступный адрес v-society.official@onionmail[.]org и ссылка Tor .onion остаются неизменными.

    Рисунок 13. Записка о выкупе Vice Society с использованием программы-вымогателя Zeppelin.

    Дополнительные сведения о выполнении включают следующее:

    • Создание раздела реестра HKCU\Software\Zeppelin
    • Добавление расширения формата A1A-A80-4CD к зашифрованным файлам
    • Создание файла с именем README. txt.v-society
    • Импхэш: 8acb34bed3caa60cae3f08f75d53f727
    • Создание временного файла с расширением .Zeppelin в следующем формате — C:\Users\\AppData\Local\Temp\7D3ED7F1.Zeppelin

    Заключение

    Школьные округа с ограниченными возможностями кибербезопасности и ограниченными ресурсами часто являются наиболее уязвимыми для злоумышленников. Оппортунистическое нацеливание, часто наблюдаемое у киберпреступников, может поставить под угрозу даже школьные округа с надежными программами кибербезопасности. Учебные заведения K-12 могут рассматриваться как особенно прибыльные цели из-за объема конфиденциальных данных учащихся, доступных через школьные системы или их управляемых поставщиков услуг.

    Vice Society и его последовательная ориентация на вертикаль индустрии образования, особенно в период с сентября, служит предупреждением о том, что эта группа сформировала свои кампании, чтобы использовать преимущества учебного года в США. Вероятно, они продолжат использовать эти тактики, чтобы повлиять на ландшафт киберугроз в будущем, пока их деятельность продолжает приносить им прибыль.

    Образовательные учреждения должны продолжать внедрять передовые методы обеспечения безопасности и проявлять осторожность в отношении постоянной угрозы программ-вымогателей, особенно в начале и в конце учебного года.

    Учреждения и университеты K-12 имеют преимущество, когда дело доходит до самозащиты, которое очень немногие организации используют в полной мере. В школьной среде есть много преподавателей, которые могут помочь в проведении тренингов как для сотрудников, так и для учащихся, чтобы узнать, что им нужно делать для обеспечения безопасности для всех в организации.

    Использование Vice Society нескольких полезных нагрузок программ-вымогателей на хостах Windows и Linux показывает, что они постоянно развиваются. Скорее всего, в будущем они продолжат использовать дополнительные штаммы программ-вымогателей, а также использовать недавно обнаруженные уязвимости.

    Как и в случае с другими группами по борьбе с программами-вымогателями, Unit 42 настоятельно рекомендует организациям, пострадавшим от Vice Society, по возможности не платить выкуп, а вместо этого проконсультироваться с доверенной группой по переговорам с инвесторами для выработки наилучшего плана действий.

    Клиенты Palo Alto Networks получают защиту от программ-вымогателей, используемых Vice Society, от Cortex XDR, а также от облачной службы безопасности WildFire для брандмауэра следующего поколения.

    Если вы считаете, что вас могли взломать или у вас срочное дело, свяжитесь с группой реагирования на инциденты Unit 42 или позвоните по телефону:

    • Бесплатный номер для Северной Америки: 866.486.4842 (866.4.UNIT42)
    • EMEA: +31.20.299.3130
    • Азиатско-Тихоокеанский регион: +65.6983.8730
    • Япония: +81.50.1790.0200

    Тактика, методы и процедуры (ТТР)

    Отряд 42 наблюдал следующие ТТП, используемые Vice Society в прошлых операциях по реагированию на инциденты с участием группы. В следующей таблице показаны эти TTP в соответствии со структурой MITRE ATT&CK.

    Известно, что Известно, что Пакетные файлы Известно, что Было замечено, что Общество Известно, что
    TA0001 Начальный доступ
    T1566 Фишинг Vice Society использует фишинг для получения начального доступа к системам жертв.
    T1078 Действительные учетные записи Vice Society использовала скомпрометированные действительные учетные данные для получения первоначального доступа.
    T1190 Использование общедоступных приложений Уязвимости приложений и систем с выходом в Интернет, такие как PrintNightmare (CVE-2021-1675) и (CVE-2021-34527), могут быть использованы для получения начального доступа.
    TA0002 Исполнение
    T1047 Инструментарий управления Windows (WMI) Вредоносные команды выполняются через WMI как средство «жить за счет земли» и избегать обнаружения.
    T1053. 005 Запланированная задача/задание Vice Society выполняет команды через запланированные задачи/работы.
    T1059.001 Интерпретатор команд и сценариев: Powershell Vice Society использует PsExec для казни, настойчивости и защиты от уклонения.
    T1059.003 Интерпретатор команд и сценариев: Командная оболочка используются Vice Society для развертывания программы-вымогателя через PsExec.
    TA0003 Постоянство
    T1543.003 Изменить системный процесс Чтобы сохранить доступ к скомпрометированным системам, Vice Society использует операционные функции Windows для выполнения зашифрованного PowerShell.
    T1547.001 Ключи запуска реестра/папка запуска Постоянство сохраняется после загрузки/перезагрузки с помощью вредоносных ключей реестра автозапуска.
    T1574.002 DLL с боковой загрузкой Vice Society использует законные программы для загрузки собственной библиотеки DLL группы для выполнения своей полезной нагрузки.
    TA0004 Повышение привилегий
    Использование T1068 для повышения привилегий Уязвимости программного обеспечения, такие как PrintNightmare (CVE-2021-1675) и (CVE-2021-34527), могут использоваться для повышения привилегий.
    TA0005 Уклонение от обороны
    T1036 Маскарад Файлы, брошенные Vice Society в среду жертвы, могли быть изменены, чтобы казаться законными.
    T1055 Технологический впрыск Законные процессы были испорчены Vice Society путем внедрения кода, чтобы обойти защиту.
    Удаление индикатора T1070 на хосте Как и многие другие группы программ-вымогателей, Vice Society пытается очистить системные журналы, журналы безопасности и журналы приложений на скомпрометированных машинах.
    T1112 Изменить реестр Vice Society пытается отключить Защитника Windows, изменив реестр.
    T1497 Уклонение от песочницы Vice Society пытается помешать реинжинирингу и/или динамическому анализу с помощью различных методов уклонения от песочницы.
    T1562.001 Ухудшение защиты: отключить или изменить инструменты Попытки отключить или изменить средства защиты конечной точки, такие как Microsoft Defender, на скомпрометированных устройствах.
    TA0006 Доступ к учетным данным
    T1003 Сброс учетных данных ОС Vice Society использует ntds.dit и comsvcs.dll для извлечения учетных данных.
    T1003.001 Сброс учетных данных ОС: память LSASS Vice Society использует comsvcs.dll для вывода учетных данных из службы подсистемы локального органа безопасности.
    T1003.003 Сброс учетных данных ОС: NTDS Vice Society пытается «жить за счет земли», используя ntds.dit и ntdsutil.exe для создания дампа базы данных Active Directory в попытке получить учетные данные.
    TA0007 Дискавери
    T1046 Обнаружение сетевых служб Vice Society использует разведывательный инструмент под названием Advanced Port Scanner для идентификации запущенных служб и инфраструктуры локальной сети.
    Обнаружение доверия домена T1482 Было замечено, что Vice Society использует инструмент разведки пути атаки Bloodhound на начальных этапах своей атаки до развертывания программы-вымогателя.
    TA00008 Боковое перемещение
    Удаленные службы T1021 RDP используется группой для бокового перемещения.
    Удаленные службы T1021.002: общие ресурсы администратора SMB/Windows акции SMB были использованы Vice Society для бокового движения.
    T1080 Общий контент Taint Сетевые диски и другие общие хранилища используются Vice Society для доставки полезной нагрузки.
    T1570 Боковая передача инструмента Боковой перенос инструментов использовался для перемещения инструментов и файлов из одной скомпрометированной системы в другую, включая SMB и RDP.
    TA0010 Эксфильтрация
    T1020 Автоматическая эксфильтрация Сценарии PowerShell используются для эксфильтрации данных на внешние серверы C2.
    T1041 Эксфильтрация через канал C2 Такие инструменты, как PowerShell и PsExec, используются для эксфильтрации данных непосредственно на серверы C2.
    T1048 Эксфильтрация по альтернативному протоколу Vice Society использовала SMB для кражи данных.
    T1567.002 Эксфильтрация через веб-службу: эксфильтрация в облачное хранилище Облачные сервисы хранения и передачи, такие как Mega.nz, Anonfiles.com, File.io и Sendspace, использовались Vice Society для эксфильтрации данных жертв.
    TA0011 Система управления и контроля
    Т1219Программное обеспечение удаленного доступа Известно, что Vice Society использует такие инструменты, как SystemBC и проприетарные бэкдоры.
    TA0040 Воздействие
    Данные T1486 зашифрованы для удара Vice известно своей тактикой вымогательства, шифрованием устройств и требованием выкупа.
    Удаление доступа к учетной записи T1531 Vice Society меняет пароли скомпрометированных учетных записей жертв и привилегированных пользователей, таких как учетные записи электронной почты и администраторов.

    Indicators of Compromise (IoCs)

    HelloKitty Elf samples featuring Vice Society ransom note header:

    • 643a3121166cd1ee5fc6848f099be7c7c24d36f5922f58052802b91f032a5f0f
    • 754f2022b72da704eb8636610c6d2ffcbdae9e8740555030a07c8c147387a537
    • 78efe6f5a34ba7579cfd8fc551274029920a9086cb713e859f60f97f591a7b04
    • 16a0054a277d8c26beb97850ac3e86dd0736ae6661db912b8782b4eb08cfd36e

    Программа-вымогатель Zeppelin с заголовком примечания о выкупе Vice Society:

    • 4a4be110d587421ad50d2b1a38b108fa05f314631066a2e96a1c85cc05814080
    • 307877881957a297e41d75c84e9a965f1cd07ac9d026314dcaff55c4da23d03e
    • faa79c796c27b11c4f007023e50509662eac4bca99a71b26a9122c260abfb3c6
    • dd89d939c941a53d6188232288a3bd73ba9baf0b4ca6bf6ccca697d9ee42533f
    • 4440763b18d75a0f9de30b1c4c2aeb3f827bc4f5ea9dd1a2aebe7e5b23cfdf94
    • 24efa10a2b51c5fd6e45da6babd4e797d9cae399be98941f950abf7b5e9a4cd7
    • бафд3434f3ba5bb9685e239762281d4c7504de7e0cfd9d6394e4a85b4882ff5d
    • aa7e2d63fc991990958dfb795a0aed254149f185f403231eaebe35147f4b5ebe
    • 001938ed01bfde6b100927ff8199c65d1bff30381b80b846f2e3fe5a0d2df21d
    • Ab440c4391ea3a01bebbb651c80c27847b58ac928b32d73ed3b19a0b17dd7e75

    Контактная информация:

    • vicesociety@onionmail[. ]org
    • v-society.official@onionmail[.]org
    • ЛарриГолд@onionmail[.]org
    • MollyThomson@onionmail[.]org
    • BruceBoyle@onionmail[.]org
    • Сильвестр Джонс@onionmail[.]org
    • brendaevans4454@onionmail[.]org
    • warreinolds77@onionmail[.]org
    • DaltonReed@onionmail[.]org
    • FreddieFerrell@onionmail[.]org
    • lewiselsberry@onionmail[.]org
    • inezeng@onionmail[.]org
    • lonnieguzman@onionmail[.]org
    • thomasmoore@onionmail[.]org

    Домены:

    • vsociethok6sbprvevl4dlwbqrzyhxcxaqpvcqt5belwvsuxaxsutyad[.]onion
    • Qu5dci2k25x2imgki2dbhcwegqqsqsrjj5d3ugcc5kpsgbtj2psaedqd[.]onion
    • Wavbeudogz6byhnardd2lkp2jafims3j7tj6k6qnywchn2csngvtffqd[.]onion
    • gunyhng6pabzcurl7ipx2pbmjxpvqnu6mxf2h4vdeenam34inj4ndryd[.]onion

    Дополнительные ресурсы

    Краткий обзор угроз: RCE-уязвимость диспетчера очереди печати Windows (CVE-2021-34527, также известная как PrintNightmare)
    Новые группы программ-вымогателей: AvosLocker, Hive, HelloKitty, LockBit 2.

    Оставить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *