Une attaque de ransomware contre le district scolaire unifié de Los Angeles au cours de la première semaine de septembre a paralysé les opérations numériques dans tout le système, qui comprend plus de 1 000 écoles et dessert environ 600 000 élèves. Deux semaines après l’attaque initiale, alors que le district s’efforçait de récupérer et de restaurer ses systèmes, les pirates ont déclaré qu’ils divulgueraient les 500 gigaoctets de données qu’ils prétendaient avoir volés à LAUSD si le système scolaire ne payait pas de rançon.
Après que le système scolaire ait refusé de se venger, les pirates ont publié le trésor, qui contenait des données sensibles sur les étudiants qui avaient fréquenté LAUSD entre 2013 et 2016, y compris leurs numéros de sécurité sociale, leurs informations financières et fiscales, leurs détails médicaux et même leurs dossiers juridiques. Et alors que LAUSD mettait en place une hotline pour les familles inquiètes et se précipitait pour faire face aux retombées, le groupe de piratage à l’origine de l’attaque est passé à autre chose, apparemment sans gagner d’argent sur l’incident.
C’est Vice Society pour vous.
Le groupe apparemment russophone est un acteur prolifique de ransomware qui a frappé un éventail d’établissements d’enseignement depuis son émergence à la fin de 2020. Mais en plus de se concentrer sur les écoles, Vice Society est connu pour cibler les établissements de santé et les hôpitaux – un secteur long – en proie à des attaques de rançongiciels, mais que certains groupes de piratage se sont engagés à ne pas cibler au plus fort de la pandémie de COVID-19. Au milieu d’une vague néanmoins brutale d’attaques de rançongiciels dans les hôpitaux nord-américains en 2020, l’activité de Vice Society a été juste assez banale pour garder le groupe à l’écart des projecteurs.
Publicité
“Nous les considérerions probablement comme un groupe de deuxième ou peut-être de troisième niveau, par rapport à de grands noms comme LockBit, Hive et Black Cat”, déclare Allan Liska, analyste pour la société de sécurité Recorded Future, spécialisée dans les ransomwares. «Mais la majeure partie de leurs victimes se trouvent dans les secteurs de l’éducation ou de la santé, et leurs attaques représentent une part importante du total des attaques connues dans ces catégories pour 2021 et 2022 jusqu’à présent. Ils occupent une place importante dans ces deux secteurs.
Vice Society est, à bien des égards, un gang de rançongiciels banal. Le groupe s’appuie sur l’exploitation de vulnérabilités connues telles que PrintNightmare pour accéder aux systèmes des victimes et peut parfois acheter un pied dans la porte à des acteurs criminels connus sous le nom de courtiers “d’accès initial”. Une fois à l’intérieur d’un réseau, Vice Society utilise des scripts automatisés et profite de les propres outils de gestion de réseau d’une organisation pour effectuer une reconnaissance standard et exfiltrer les données, puis le groupe déploie des rançongiciels préemballés.
Peu de temps après l’attaque LAUSD, la United States Cybersecurity and Infrastructure Security Agency et le FBI ont publié une alerte sur Vice Society, notant que le groupe “ciblait de manière disproportionnée le secteur de l’éducation avec des attaques de ransomware”. Les agences ont ajouté que “Vice Society est un groupe de piratage d’intrusion, d’exfiltration et d’extorsion… [The] les acteurs n’utilisent pas une variante de ransomware d’origine unique.”
En plus de ses attaques techniquement banales, Vice Society a également touché des cibles dans le monde entier, répartissant ses victimes entre l’Amérique du Nord, l’Amérique du Sud et l’Europe.
