{"id":431858,"date":"2022-10-26T07:57:27","date_gmt":"2022-10-26T09:57:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-de-la-vice-society-sont-a-lorigine-de-plusieurs-attaques-de-ransomwares-contre-le-secteur-de-leducation\/"},"modified":"2022-10-26T07:57:28","modified_gmt":"2022-10-26T09:57:28","slug":"les-pirates-de-la-vice-society-sont-a-lorigine-de-plusieurs-attaques-de-ransomwares-contre-le-secteur-de-leducation","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-de-la-vice-society-sont-a-lorigine-de-plusieurs-attaques-de-ransomwares-contre-le-secteur-de-leducation\/","title":{"rendered":"Les pirates de la Vice Society sont \u00e0 l&#8217;origine de plusieurs attaques de ransomwares contre le secteur de l&#8217;\u00e9ducation"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un groupe de cybercriminalit\u00e9 connu sous le nom de <strong>Vice-soci\u00e9t\u00e9<\/strong> a \u00e9t\u00e9 li\u00e9 \u00e0 plusieurs souches de ran\u00e7ongiciels dans ses campagnes malveillantes destin\u00e9es aux secteurs de l&#8217;\u00e9ducation, du gouvernement et de la vente au d\u00e9tail.<\/p>\n<p>L&#8217;\u00e9quipe Microsoft Security Threat Intelligence, qui suit le cluster de menaces sous le nom de DEV-0832, a d\u00e9clar\u00e9 que le groupe \u00e9vite de d\u00e9ployer des ran\u00e7ongiciels dans certains cas et pratique plut\u00f4t probablement l&#8217;extorsion en utilisant des donn\u00e9es vol\u00e9es exfiltr\u00e9es.<\/p>\n<p>&#8220;D\u00e9placer les charges utiles des ransomwares au fil du temps \u00e0 partir de BlackCat, <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/cybereason-vs.-quantum-locker-ransomware\" target=\"_blank\">Casier quantique<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-223a\" target=\"_blank\">Zeppelin<\/a>la derni\u00e8re charge utile de DEV-0832 est une variante de Zeppelin qui inclut des extensions de fichiers sp\u00e9cifiques \u00e0 Vice Society, telles que .v-s0ciety, .v-society et, plus r\u00e9cemment, .locked&#8221;, la division de cybers\u00e9curit\u00e9 du g\u00e9ant de la technologie <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2022\/10\/25\/dev-0832-vice-society-opportunistic-ransomware-campaigns-impacting-us-education-sector\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Vice Society, active depuis juin 2021, a \u00e9t\u00e9 r\u00e9guli\u00e8rement observ\u00e9e en train de crypter et d&#8217;exfiltrer les donn\u00e9es des victimes, et de menacer les entreprises d&#8217;exposer des informations siphonn\u00e9es pour les forcer \u00e0 payer une ran\u00e7on.<\/p>\n<p>&#8220;Contrairement \u00e0 d&#8217;autres groupes de double extorsion RaaS (Ransomware-as-a-Service), Vice Society se concentre sur l&#8217;acc\u00e8s au syst\u00e8me de la victime pour d\u00e9ployer des binaires de ransomware vendus sur les forums du Dark Web&#8221;, d\u00e9clare la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 SEKOIA. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/vice-society-a-discreet-but-steady-double-extortion-ransomware-group\/\" target=\"_blank\">a dit<\/a> dans une analyse du groupe en juillet 2022.<\/p>\n<p>L&#8217;acteur de la menace financi\u00e8rement motiv\u00e9 est connu pour s&#8217;appuyer sur des exploits pour les vuln\u00e9rabilit\u00e9s divulgu\u00e9es publiquement dans les applications Internet pour l&#8217;acc\u00e8s initial, tout en utilisant \u00e9galement des scripts PowerShell, des outils l\u00e9gitimes r\u00e9affect\u00e9s et des portes d\u00e9rob\u00e9es de base telles que SystemBC avant de d\u00e9ployer le ransomware.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"577\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666778246_843_Les-pirates-de-la-Vice-Society-sont-a-lorigine-de.jpg\" \/><\/div>\n<p>Des acteurs de la Vice Society ont \u00e9galement \u00e9t\u00e9 aper\u00e7us en train d&#8217;utiliser Cobalt Strike pour le mouvement lat\u00e9ral, en plus de cr\u00e9er des t\u00e2ches planifi\u00e9es pour la persistance et d&#8217;abuser des vuln\u00e9rabilit\u00e9s dans Windows Print Spooler (alias PrintNightmare) et Common Log File System (CVE-2022-24521) pour \u00e9lever les privil\u00e8ges.<\/p>\n<p>&#8220;Les acteurs de la Vice Society tentent d&#8217;\u00e9chapper \u00e0 la d\u00e9tection en faisant passer leurs logiciels malveillants et leurs outils pour des fichiers l\u00e9gitimes, en utilisant l&#8217;injection de processus, et utilisent probablement des techniques d&#8217;\u00e9vasion pour vaincre l&#8217;analyse dynamique automatis\u00e9e&#8221;, a d\u00e9clar\u00e9 l&#8217;Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA). <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-249a\" target=\"_blank\">a dit<\/a> le mois dernier.<\/p>\n<p>Lors d&#8217;un incident de juillet 2022 r\u00e9v\u00e9l\u00e9 par Microsoft, l&#8217;acteur de la menace aurait tent\u00e9 de d\u00e9ployer initialement des ex\u00e9cutables QuantumLocker, pour ensuite le suivre avec des binaires pr\u00e9sum\u00e9s de ransomware Zeppelin cinq heures plus tard.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Les-chercheurs-detaillent-les-vulnerabilites-du-journal-des-evenements-Windows.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Un tel incident pourrait sugg\u00e9rer que DEV-0832 maintient plusieurs charges utiles et commutateurs de ransomware en fonction des d\u00e9fenses cibles ou, alternativement, que des op\u00e9rateurs dispers\u00e9s travaillant sous l&#8217;\u00e9gide de DEV-0832 pourraient maintenir leurs propres charges utiles de ransomware pr\u00e9f\u00e9r\u00e9es pour la distribution&#8221;, a not\u00e9 Redmond.<\/p>\n<p>Parmi les autres outils utilis\u00e9s par DEV-0832 se trouve une porte d\u00e9rob\u00e9e bas\u00e9e sur Go appel\u00e9e PortStarter qui offre la possibilit\u00e9 de modifier les param\u00e8tres du pare-feu et d&#8217;ouvrir des ports pour \u00e9tablir des connexions avec des serveurs de commande et de contr\u00f4le (C2) pr\u00e9configur\u00e9s.<\/p>\n<p>Vice Society, en plus de tirer parti des binaires vivant hors de la terre (LOLBins) pour ex\u00e9cuter du code malveillant, a \u00e9galement tent\u00e9 de d\u00e9sactiver Microsoft Defender Antivirus \u00e0 l&#8217;aide de commandes de registre.<\/p>\n<p>L&#8217;exfiltration de donn\u00e9es est finalement r\u00e9alis\u00e9e en lan\u00e7ant un script PowerShell qui transmet un large \u00e9ventail d&#8217;informations sensibles, allant des documents financiers aux donn\u00e9es m\u00e9dicales, \u00e0 une adresse IP cod\u00e9e en dur appartenant \u00e0 l&#8217;attaquant.<\/p>\n<p>Redmond a en outre soulign\u00e9 que le groupe de cybercriminalit\u00e9 se concentre sur les organisations avec des contr\u00f4les de s\u00e9curit\u00e9 plus faibles et une probabilit\u00e9 plus \u00e9lev\u00e9e de paiement d&#8217;une ran\u00e7on, soulignant la n\u00e9cessit\u00e9 de <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/stopransomware\/stopransomware\" target=\"_blank\">appliquer les garanties n\u00e9cessaires<\/a> pour emp\u00eacher de telles attaques.<\/p>\n<p>&#8220;Le passage d&#8217;une offre de ransomware en tant que service (RaaS) (BlackCat) \u00e0 une offre de malware achet\u00e9e en propri\u00e9t\u00e9 exclusive (Zeppelin) et une variante personnalis\u00e9e de la Vice Society indique que DEV-0832 a des liens actifs dans l&#8217;\u00e9conomie cybercriminelle et a test\u00e9 la charge utile des ransomwares d&#8217;efficacit\u00e9 ou d&#8217;opportunit\u00e9s d&#8217;extorsion post-ransomware \u00bb, a d\u00e9clar\u00e9 Microsoft.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/vice-society-hackers-are-behind-several.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe de cybercriminalit\u00e9 connu sous le nom de Vice-soci\u00e9t\u00e9 a \u00e9t\u00e9 li\u00e9 \u00e0 plusieurs souches de ran\u00e7ongiciels dans ses campagnes malveillantes destin\u00e9es aux secteurs de l&#8217;\u00e9ducation, du gouvernement et de la vente au d\u00e9tail. L&#8217;\u00e9quipe Microsoft Security Threat Intelligence, qui suit le cluster de menaces sous le nom de DEV-0832, a d\u00e9clar\u00e9 que le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":431859,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,4168,841,4158,4165,4161,4157,4159,4171,4170,7213,65,4167,15235,4160,4163,4162,4394,701,63091,3205,4172,4169,207,317,11544,4166,4164],"class_list":["post-431858","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-leducation","tag-les","tag-logiciel-malveillant-de-ransomware","tag-lorigine","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-plusieurs","tag-ransomwares","tag-secteur","tag-securite-informatique","tag-securite-internet","tag-society","tag-sont","tag-vice","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/431858","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=431858"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/431858\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/431859"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=431858"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=431858"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=431858"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}