La médiocrité semble être le mot qui caractérise Vice Society selon les experts en cybersécurité, du moins selon Wired. Pourtant, le groupe excelle dans cette méthode et poursuit discrètement ses attaques contre des hôpitaux et des écoles dans le monde entier.
Considéré comme un groupe de second ou de troisième rang par les experts, Vice Society n’en demeure pas moins aussi dévastateur que des groupes comme Lockbit, Blackcat ou Hive. Le gang s’en prend spécialement au secteur de l’éducation et la santé entre 2021 et 2022. Identifié comme un groupe russophone, Vice Society vise notamment des cibles américaines et européennes. Focus sur ses attaques majeures et son mode opératoire.
Les attaques majeures de Vice Society
Vice Society rejoint l’écosystème de la cybercriminalité vers la fin de l’année 2020. Contrairement aux autres groupes, celui-ci ne repose pas sur le modèle de l’affiliation, c’est-à-dire du rançongiciel en tant que service (RaaS). Les membres mènent leurs propres attaques et leurs déploiements de charges utiles.
Microsoft l’identifie sous le nom Dev 0832. Plusieurs études rapportent une concentration des attaques dans le secteur de l’éducation. Dans les faits, le groupe diversifie ses victimes.
Dans le secteur de la santé par exemple, le Barlow Respiratory Hospital en Californie, le Centre Hospitalier d’Arles ou encore le Eskenazi Health dans l’Indiana font partie de ses cibles en 2021. Au-delà des hôpitaux, il s’en prend aussi à des organisations comme le conseil de santé du district de Waikato. Cet incident a provoqué l’annulation de deux vols en Nouvelle-Zélande en pleine pandémie. Selon Trend Micro, Vice Society vise aussi le secteur manufacturier au Brésil et en Argentine.
De son côté, Zataz recense plusieurs collectivités territoriales et institutions comme cibles : la ville de Palerme en Italie, Rolle en Suisse, le Grand Paris en France, l’état de Cincinnati aux USA, le Sénat argentin, etc.
Vice Society : un mode opératoire familier
Vice Society ne brille pas par la sophistication de ses techniques. Le gang exploite des techniques popularisées par d’autres cybercriminels. Les autres groupes développent leurs propres failles zero-day et démontrent un certain professionnalisme. De son côté, Vice Society se contente d’« emprunter » des outils à d’autres. Pour eux, le plus important est le paiement par les cibles. Ce manque d’originalité ne diminue en rien le danger qu’il représente, sachant le nombre important de ses victimes.
Vice Society exploite des vulnérabilités comme PrintNightmare pour s’introduire dans le système de ses victimes. TrendMicro avance également que le groupe achète des identifiants compromis sur le darkweb. Au niveau des ransomwares, il diffuse des variantes populaires comme Zeppelin, Five Hands et Hello Kitty.
Le groupe pratique la double extorsion. En plus de négocier une rançon sur les données cryptées, il exfiltre une partie et menace de les divulguer si la demande de rançon n’aboutit pas. L’attaque contre le district scolaire unifié de Los Angeles (LAUSD) en est l’exemple.
Vice Society s’appuie également sur une attaque de type « Living off the Land » (LOTL). Ce type d’attaque utilise des outils légitimes à des fins malveillantes. Cela permet aux utilisateurs de contourner les outils de détection basés sur les signatures et de passer inaperçu pendant des semaines.
Parmi les outils légitimes exploités par le gang de ransomware, on retrouve Windows Management Instrumentation (WMI). Les administrateurs l’utilisent pour gérer les ordinateurs et les logiciels à distance.
En accédant au WMI, Vice Society accède au système de l’organisation, installe le ransomware et exfiltre des informations.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Le secteur de l’éducation : cible privilégiée du groupe
En septembre 2021, le district scolaire unifié de Los Angeles (LAUSD) subit une attaque qui paralyse son système informatique. L’incident touche plus d’un millier d’écoles qui composent le district, soit environ 600 000 élèves.
Malgré les tentatives de restaurer le système, les pirates ont déjà exfiltré plus de 500 Go de données et menacent de les divulguer si le LAUSD ne paie pas de rançon. Le système scolaire refuse de céder, les hackers mettent leur menace à exécution. Les données des élèves (numéro de sécurité social, information de santé, dossiers juridiques, information fiscale, etc.) ayant fréquenté ces écoles entre 2013 et 2016 sont dévoilées publiquement.
Cette attaque n’est qu’un aperçu des cibles de Vice Society dans l’éducation. Le groupe a mené de vastes campagnes de ransomwares visant des institutions comme l’université catholique du Portugal, Xavier University aux USA, IUT à Paris, l’Institut des sciences et technologie en Autriche, etc.
Selon Zataz, le Royaume-Uni est le pays qui a recensé le plus d’attaques en 2022, soit 16 cas en 60 jours. Les cybercriminels considèrent le système éducatif anglais comme une cible facile sachant le manque d’investissement dans la cybersécurité.
Vice Society et son culte de la discrétion
Les autres gangs retiennent l’attention des médias suite à des attaques d’envergure comme celle du Colonial Pipeline. Ce n’est pas le cas de Vice Society qui vise spécialement l’éducation. Les experts estiment que c’est parce qu’il s’agit d’un secteur plus discret.
En 2022 par exemple, le groupe mène des attaques contre le district scolaire de Linn-Mar en Iowa et l’Université de médecine autrichienne d’Innsbruck. Ces cibles sont considérées de moindres envergures.
Le LAUSD est sans doute leur première cible majeure. C’est pourquoi l’attaque a fait du bruit dans les médias. Selon les experts, le groupe ne s’attendait pas à une telle attention médiatique. D’autres avancent qu’il voulait tester leur capacité à gérer des cibles plus importantes.
Dans les deux cas, le LAUSD a refusé de payer la rançon. Suite à cet échec, le groupe se concentre davantage sur des cibles plus discrètes pour rester dans l’ombre. Il ne souhaite pas devenir comme Conti et se mettre à dos tout un pays en s’en prenant à son système de santé.
Selon les experts en cybersécurité, les groupes de ransomware comme Vice Society ne sont pas la priorité des forces de l’ordre. Cette politique lui permet de se développer sereinement sans subir les arrestations et perquisitions comme chez les autres gangs d’envergure.
Un changement de nom en Vanilla Tempest ?
Selon Microsoft, ce changement de nom est intervenu en 2023 lorsque le groupe a évolué. Ainsi, il utilise en 2024 un autre variant de ransomware, INC. Ce ransomware est impliqué dans la cyber-extorsion de plus de 170 victimes en un an, depuis sa création en 2023. Microsoft révèle également que les pirates obtiennent les accès initiaux grâce aux infections par Gootloader.
Par ailleurs, le groupe qui était considéré comme médiocre jusqu’ici a pu développer un générateur de rançongiciels personnalisé selon TrendMicro. Cela lui permettrait de mettre en place son modèle de RaaS.
