Vice Society : Portrait et menaces
Apparu à l’été 2021, le groupe Vice Society est un groupe cybercriminel russophone spécialisé dans le rançonnage.
Vice Society est connu pour se différencier des autres groupes de ce secteur, qui privilégient un modèle de type « Ransomware as a service », par l’utilisation de versions de rançongiciels déjà existants, tels que Hello Kitty/Five Hands et Zeppelin, pouvant être achetés sur différentes places de marché du Darknet.
Bien que ciblant plus particulièrement le secteur de l’éducation, Vice Society s’est plusieurs fois illustré par des attaques visant le secteur de la santé. En 2021, le groupe a notamment attaqué la chaîne de centres de soins California-based United Health Centers.
site .onion de revendication du groupe Vice Society
Techniques & tactiques
Les attaquants obtiendraient tout d’abord un accès initial grâce à l’utilisation d’identifiants récupérés par l’exploitation d’applications accessibles sur Internet.
Une fois rentrés sur le réseau et ayant pour objectif d’opérer une double extorsion (chiffrement et divulgation), les acteurs de Vice Society reconnaissent le réseau et effectuent des mouvements latéraux en s’appuyant sur les outils SystemBC, PowerShell Empire, Cobalt Strike, ainsi que le service légitime Windows Management Instrumentation (WMI).
Afin d’obtenir des privilèges élevés, les attaquants peuvent tirer parti de la vulnérabilité « Print Nightmare » ( CVE-2021-1675 et CVE-2021-34527). Plusieurs techniques sont également utilisées pour maintenir leur persistance sur le réseau : détournement de tâches planifiées, création de clés de registre de démarrage ou encore redirection de services légitimes vers des bibliothèques de liens dynamiques (DLL) malveillants.
Afin d’échapper à toute détection, notamment par l'analyse dynamique automatisée, les attaquants utilisent différentes tactiques telles que l’injection de processus ou la dissimulation de leurs outils sous les apparences de fichiers légitimes.
Par ailleurs, afin de freiner les tentatives de remédiation, certains membres de Vice Society, ayant obtenu des droits administrateurs, ont modifié les mots de passe des comptes réseau de leurs victimes.
L’ANS a publié une fiche réflexe (disponible en référence) de gestion préventive du risque représenté par les rançongiciels à destination des organisations de santé.