Vice Society

Histoire
Fondation	2021 (?)
Type	Threat actor, cybercrime organisé

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Vice Society est un groupe cybercriminel connu pour ses attaques d'extorsion à l'aide de rançongiciels contre des organisations de soins de santé, d'éducation et de fabrication^[1]. Le groupe émerge en 2021 et serait russophone^[2]^,^[3]. Ils ont un passif d'attaques en Europe^[4]^,^[5] et aux États-Unis^[6].

Description[modifier | modifier le code]

Le groupe émerge au cours de l'été 2021^[7]. Il cible de manière disproportionnée le secteur de l'éducation. Des recherches menées par Palo Alto Networks répertorient 33 attaques d'écoles sur son site de fuite de données pour la seule année 2022^[8]. Les experts classent Vice Society comme un groupe de rançongiciel de « deuxième ou troisième zone » en termes de sophistication. Cependant, ses attaques nombreuses contre des écoles moins connues et des hôpitaux régionaux ont permis à Vice Society de passer sous le radar^[2].

Vice Society pratique la double extorsion, en volant des données pour servir de levier dans les négociations sur les rançons. Ils menacent de publier les données exfiltrées sur des sites de fuite spécialisés si les demandes de rançon ne sont pas satisfaites. Les premières demandes de rançon ont dépassé le million de dollars américains, les montants finaux négociés avoisinant les 460 000 dollars américains^[9]. Le groupe est connu pour négocier les rançons à la baisse par rapport aux demandes initiales de plusieurs millions de dollars^[8].

Contrairement à de nombreux groupes de rançongiciel, Vice Society n'utilise pas un modèle de rançongiciel en tant que service avec des pirates affiliés. Il mène ses propres intrusions et déploiements. Cela permet à Vice Society de se déplacer rapidement dans les réseaux cibles, avec des durées d'attaques aussi courtes que 6 jours avant d'être détecté^[8].

Le groupe attire l'attention à la fin de 2022 et au début de 2023 en raison d'une série d'attaques très médiatisées, dont une ciblant le système de transport en commun de San Francisco^[1].

Tactiques et techniques[modifier | modifier le code]

Selon la Cybersecurity and Infrastructure Security Agency des États-Unis, Vice Society n'a pas développé ses propres outils d'attaque internes, mais utilise les kits d'outils de rançongiciel Hello Kitty/Five Hands et Zeppelin^[3]. Plus récemment, le groupe développe son propre générateur de rançongiciel personnalisé et met en place des méthodes de chiffrement plus solides^[1].

Les acteurs de la menace ont exploité des vulnérabilités telles que PrintNightmare (CVE-2021-1675, CVE-2021-34527) pour obtenir un accès initial aux réseaux cibles^[9].

Le groupe s'introduit généralement dans les réseaux en exploitant des applications accessibles sur Internet via des informations d'identification compromises. Avant de déployer des rançongiciels, Vice Society explore le réseau, rechercher des opportunités d'augmenter ses accès et à exfiltrer des données à des fins de double extorsion. Pour se déplacer latéralement, ils utilisent divers outils tels que SystemBC, PowerShell Empire et Cobalt Strike .Le groupe utilise des techniques telles que le ciblage du service Windows Management Instrumentation et la corruption du contenu partagé. Ils ont également été observés exploitant la vulnérabilité PrintNightmare pour élever les privilèges. Pour maintenir sa presence et persister sur le réseau, Vice Society utilise des tâches planifiées, des clés de registre de démarrage automatique non documentées et le chargement latéral de DLL. Pour échapper à la détection, les acteurs déguisent leurs logiciels malveillants et leurs outils en fichiers légitimes, utilisent l'injection de processus et utilisent probablement des techniques d'évasion contre l'analyse dynamique automatisée. Les pirates de Vice Society sont connus pour élever les privilèges, accéder aux comptes d'administrateur de domaine et modifier les mots de passe des comptes réseau des victimes pour entraver les efforts de remédiation^[7].

Références[modifier | modifier le code]

↑ ^{a b et c} (en-US) « Vice Society Ransomware Group Targets Manufacturing Companies », Trend Micro, 24 janvier 2023 (consulté le 17 juillet 2023)
↑ ^{a et b} (en-US) Lily Hay Newman, « How Vice Society Got Away With a Global Ransomware Spree », Wired,‎ 20 octobre 2022 (ISSN 1059-1028, lire en ligne, consulté le 22 octobre 2022).
↑ ^{a et b} « Alert (AA22-249A) #StopRansomware: Vice Society », Cybersecurity and Infrastructure Security Agency, 8 septembre 2022 (consulté le 22 octobre 2022)
↑ (de) « Internet-Erpresser veröffentlichen Gigabyte an vertraulichen Daten der Gemeinde Rolle VD » (consulté le 1^er novembre 2021)
↑ (de) « Wenn ein Cyberangriff eine Hochschule ausknockt », Der Spiegel (consulté le 13 janvier 2022)
↑ (en-US) Gooding, « Vice Society claims ransomware attack that hit six UK schools in Scholars' Education Trust », Tech Monitor, 26 septembre 2022 (consulté le 22 octobre 2022)
↑ ^{a et b} (en) « #StopRansomware: Vice Society | CISA », www.cisa.gov, 8 septembre 2022 (consulté le 17 juillet 2023)
↑ ^{a b et c} (en) « Vice Society ransomware 'persistent threat' to education sector | TechTarget », sur Security (consulté le 1^er août 2023)
↑ ^{a et b} (en-US) J. R. Gumarin, « Vice Society: Profiling a Persistent Threat to the Education Sector », sur Unit 42, 6 décembre 2022 (consulté le 1^er août 2023)

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

[:1-1] {a b et c} (en-US) « Vice Society Ransomware Group Targets Manufacturing Companies », Trend Micro, 24 janvier 2023 (consulté le 17 juillet 2023)

[Newman-2] {a et b} (en-US) Lily Hay Newman, « How Vice Society Got Away With a Global Ransomware Spree », Wired,‎ 20 octobre 2022 (ISSN 1059-1028, lire en ligne, consulté le 22 octobre 2022).

[CISA-3] {a et b} « Alert (AA22-249A) #StopRansomware: Vice Society », Cybersecurity and Infrastructure Security Agency, 8 septembre 2022 (consulté le 22 octobre 2022)

[4] (de) « Internet-Erpresser veröffentlichen Gigabyte an vertraulichen Daten der Gemeinde Rolle VD » (consulté le 1^er novembre 2021)

[5] (de) « Wenn ein Cyberangriff eine Hochschule ausknockt », Der Spiegel (consulté le 13 janvier 2022)

[6] (en-US) Gooding, « Vice Society claims ransomware attack that hit six UK schools in Scholars' Education Trust », Tech Monitor, 26 septembre 2022 (consulté le 22 octobre 2022)

[:0-7] {a et b} (en) « #StopRansomware: Vice Society | CISA », www.cisa.gov, 8 septembre 2022 (consulté le 17 juillet 2023)

[:2-8] {a b et c} (en) « Vice Society ransomware 'persistent threat' to education sector | TechTarget », sur Security (consulté le 1^er août 2023)

[Vice_Society:_Profiling_a_Persistent_Threat_to_the_Education_Sector-9] {a et b} (en-US) J. R. Gumarin, « Vice Society: Profiling a Persistent Threat to the Education Sector », sur Unit 42, 6 décembre 2022 (consulté le 1^er août 2023)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]