La médiocrité semble être le mot qui caractérise Vice Society selon les experts en cybersécurité, du moins selon Wired. Pourtant, le groupe excelle dans cette méthode et poursuit discrètement ses attaques contre des hôpitaux et des écoles dans le monde entier.
Considéré comme un groupe opportuniste et moins sophistiqué que LockBit, BlackCat ou Hive, Vice Society reste néanmoins destructeur par ses attaques ciblées contre l’éducation et la santé. Le gang s’en prend spécialement au secteur de l’éducation et la santé entre 2021 et 2022. Identifié comme un groupe russophone, Vice Society vise notamment des cibles américaines et européennes. Focus sur ses attaques majeures et son mode opératoire.
Les attaques majeures de Vice Society
Vice Society apparaît en 2020. Contrairement aux grands collectifs RaaS, il opère de manière plus fermée, sans véritable programme d’affiliation. Les membres mènent leurs propres attaques et leurs déploiements de charges utiles.
Microsoft l’identifie sous le nom Dev 0832. Plusieurs études rapportent une concentration des attaques dans le secteur de l’éducation. Dans les faits, le groupe diversifie ses victimes.
Dans le secteur de la santé par exemple, le Barlow Respiratory Hospital en Californie, l’hôpital Eskenazi Health dans l’Indiana et le Waikato DHB en Nouvelle-Zélande… l’incident a entraîné la paralysie des systèmes hospitaliers (opérations annulées, services touchés), mais pas de vols annulés. Selon Trend Micro, Vice Society vise aussi le secteur manufacturier au Brésil et en Argentine.
De son côté, Zataz recense plusieurs collectivités territoriales et institutions comme cibles : la ville de Palerme en Italie, Rolle en Suisse, le Grand Paris en France, l’état de Cincinnati aux USA, le Sénat argentin, etc.
Vice Society : un mode opératoire familier
Vice Society ne brille pas par la sophistication de ses techniques. Le gang exploite des techniques popularisées par d’autres cybercriminels. Les autres groupes développent leurs propres failles zero-day et démontrent un certain professionnalisme. De son côté, Vice Society se contente d’« emprunter » des outils à d’autres. Pour eux, le plus important est le paiement par les cibles. Ce manque d’originalité ne diminue en rien le danger qu’il représente, sachant le nombre important de ses victimes.
Vice Society a exploité PrintNightmare (CVE-2021-34527) et acheté des identifiants compromis pour pénétrer les réseaux. Au niveau des ransomwares, il a utilisé principalement les rançongiciels Zeppelin et HelloKitty/ FiveHands avant d’employer ses propres outils.
Le groupe pratique la double extorsion. En plus de négocier une rançon sur les données cryptées, il exfiltre une partie et menace de les divulguer si la demande de rançon n’aboutit pas. L’attaque contre le district scolaire unifié de Los Angeles (LAUSD) en est l’exemple.
Vice Society s’appuie également sur une attaque de type « Living off the Land » (LOTL). Ce type d’attaque utilise des outils légitimes à des fins malveillantes. Cela permet aux utilisateurs de contourner les outils de détection basés sur les signatures et de passer inaperçu pendant des semaines.
Parmi les outils légitimes exploités par le gang de ransomware, on retrouve Windows Management Instrumentation (WMI). Les administrateurs l’utilisent pour gérer les ordinateurs et les logiciels à distance.
En accédant au WMI, Vice Society accède au système de l’organisation, installe le ransomware et exfiltre des informations.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Le secteur de l’éducation : cible privilégiée du groupe
En septembre 2022, le district scolaire unifié de Los Angeles (LAUSD) subit une attaque qui paralyse son système informatique. L’incident touche plus d’un millier d’écoles qui composent le district, soit environ 600 000 élèves.
Malgré les tentatives de restaurer le système, les pirates ont déjà exfiltré plus de 500 Go de données et menacent de les divulguer si le LAUSD ne paie pas de rançon. Le système scolaire refuse de céder, les hackers mettent leur menace à exécution. Les données des élèves (numéro de sécurité social, information de santé, dossiers juridiques, information fiscale, etc.) ayant fréquenté ces écoles entre 2013 et 2016 sont dévoilées publiquement.
Cette attaque n’est qu’un aperçu des cibles de Vice Society dans l’éducation. Le groupe a mené de vastes campagnes de ransomwares visant des institutions comme l’université catholique du Portugal, Xavier University aux USA, IUT à Paris, l’Institut des sciences et technologie en Autriche, etc.
Selon Zataz, le Royaume-Uni est le pays qui a recensé le plus d’attaques en 2022, soit 16 cas en 60 jours. Les cybercriminels considèrent le système éducatif anglais comme une cible facile sachant le manque d’investissement dans la cybersécurité.
Vice Society et son culte de la discrétion
Les autres gangs retiennent l’attention des médias suite à des attaques d’envergure comme celle du Colonial Pipeline. Ce n’est pas le cas de Vice Society qui vise spécialement l’éducation. Les experts estiment que c’est parce qu’il s’agit d’un secteur plus discret.
En 2022 par exemple, le groupe mène des attaques contre le district scolaire de Linn-Mar en Iowa et l’Université de médecine autrichienne d’Innsbruck. Ces cibles sont considérées de moindres envergures.
Le LAUSD est sans doute leur première cible majeure. C’est pourquoi l’attaque a fait du bruit dans les médias. Selon les experts, le groupe ne s’attendait pas à une telle attention médiatique. D’autres avancent qu’il voulait tester leur capacité à gérer des cibles plus importantes.
Dans les deux cas, le LAUSD a refusé de payer la rançon. Suite à cet échec, le groupe se concentre davantage sur des cibles plus discrètes pour rester dans l’ombre. Il ne souhaite pas devenir comme Conti et se mettre à dos tout un pays en s’en prenant à son système de santé.
Selon les experts en cybersécurité, les groupes de ransomware comme Vice Society ne sont pas la priorité des forces de l’ordre. Cette politique lui permet de se développer sereinement sans subir les arrestations et perquisitions comme chez les autres gangs d’envergure.
Un changement de nom en Vanilla Tempest ?
Microsoft suit Vice Society sous l’appellation « Vanilla Tempest ». En 2023, le groupe adopte le rançongiciel INC Ransom, utilisé dans plus de 170 incidents en un an. Les accès initiaux provenaient notamment de Gootloader.
Par ailleurs, le groupe qui était considéré comme médiocre jusqu’ici a pu développer un générateur de rançongiciels personnalisé selon TrendMicro. Cela lui permettrait de mettre en place son modèle de RaaS.
