Cet article de blog sur le groupe de rançongiciels Vice Society a été initialement publié sous la forme d’un rapport FLINT (SEKOIA.IO Flash Intelligence) envoyé à nos clients le 29 juin 2022.
Qu’est-ce que Vice Society ?
Vice-society est un groupe de double extorsion peu connu qui a rejoint l’écosystème de la cybercriminalité depuis un an. Depuis lors, il a montré une activité constante, cryptant et exfiltrant les données de ses victimes et menaçant leurs victimes de divulguer leurs informations pour les forcer à payer une rançon. Contrairement à d’autres groupes de double extorsion RaaS (Ransomware-as-a-Service), Vice Society se concentre sur l’accès au système de la victime pour déployer des binaires de ransomware vendus sur les forums du Dark Web. C’est probablement un moyen pour ce groupe d’économiser des ressources en développant son propre rançongiciel.
Les enquêtes de SEKOIA.IO montrent qu’ils exploitent actuellement le rançongiciel Zeppelin ciblant les systèmes Windows, tandis que des échantillons HelloKitty ont été extraits de leurs campagnes ciblant les systèmes Linux fin 2021. Nous pensons également que les représentants du groupe sont de langue maternelle anglaise.
Analyse de Vice Society
Le groupe Vice Society cible principalement les petites ou moyennes entreprises du secteur campagnes de double extorsion.
Depuis son lancement et jusqu’à la mi-juin 2022, le groupe a revendiqué des campagnes ciblant au moins 88 victimes, qui sont toujours toutes répertoriées sur leur site dédié aux fuites de données (DLS).
Alors que certains gangs de rançongiciels s’abstiennent de cibler les organisations de santé, gouvernementales et éducatives, Vice Society n’a pas été observée en train d’appliquer de telles restrictions. Ce groupe cible notamment les districts scolaires publics et d’autres établissements universitaires, car 26,1 % des victimes répertoriées sur leur site de fuite de données sont des entités liées à l’éducation. Le groupe montre également un fort accent sur le secteur de la santé.
Figure 1. Évolution des attaques de rançongiciels ViceSociety divulguées publiquement
Lorsque BleepingComputer lui a demandé pourquoi il cible les organisations de santé, le groupe a répondu par le message suivant : « Pourquoi pas ? Ils gardent toujours nos données privées ouvertes. […] qu’ils n’essaient même pas de protéger nos données. Ils ont des milliards d’argent du gouvernement. […] le président américain a donné une grosse somme pour protéger les réseaux gouvernementaux et où est leur protection ? Où est notre protection ? Si le service informatique ne veut pas faire son travail, nous ferons le nôtre et peu importe qu’il s’agisse d’un hôpital ou d’une université.
Figure 2. Secteurs les plus impactés par le groupe de rançongiciels Vice Society.
73,9 % des victimes connues de ce groupe cybercriminel se situent en France, aux États-Unis d’Amérique, au Royaume-Uni, en Espagne, en Italie, en Allemagne et au Brésil.
Figure 3. Pays les plus touchés par le groupe de rançongiciels Vice Society, en raison du nombre croissant d’attaques
. Le site de fuite de données Vice Society onion affiche une conception à l’ancienne et un ancien style de codage HTML, il est écrit en anglais britannique et montre souvent un sens de l’humour cynique. Nous estimons que ce groupe de menaces se fait peut-être passer pour un personnage britannique dans le cadre de leurs TTP.
Figure 4. Exemples de messages cyniques publiés aux côtés des fuites des victimes
Les opérateurs du groupe Vice Society exploitent des compétences très courantes des pentesters, comme décrit par Talos dans l’un de leurs rapports. L’exploitation de vulnérabilités accessibles au public (telles que PrintNightmare) pour effectuer l’exécution de code à distance semble être la technique la plus avancée que le groupe ait été observée en train d’utiliser. De plus, Vice Society ne recourt pas à des capacités auto-développées.
Figure 5. Note de rançon de Vice Society laissée par un échantillon de ransomware
Sur la base de leur note de rançon, SEKOIA.IO a trouvé plusieurs échantillons incorporant cette note. Bien que les notes de rançon aient évolué au fil du temps, leur principal point de contact (v-society[.]official@onionmail[.]org) et DLS restent les mêmes.
Les échantillons les plus anciens de 2021 sont Le ransomware HelloKitty pour Linux (binaires ELF), et les plus récents (juin 2022) sont le ransomware Zeppelin. Les échantillons Zeppelin se font passer pour des processus Windows légitimes et semblent être liés à l’exploitation de la vulnérabilité PrintNightmare. Ils sont personnalisés pour Vice Society (en plus de la note de rançon) avec l’extension de fichier cryptée au format « .v-society.XXX-XXX-XXX », ce qui est cohérent avec les autres opérateurs de ransomware utilisant le ransomware Zeppelin.
Le ransomware Zeppelin est proposé en tant que Ransomware-as-a-Service (RaaS) sur plusieurs forums de cybercriminalité russophones (tels que XSS, BHF, DarkMarket, IFUD). Les développeurs de ransomware derrière Zeppelin portent le nom de « buransupport » et sa présence sur plusieurs forums clandestins remonte au moins à mai 2019.
Le 5 novembre 2019, les acteurs derrière le surnom de « buransupport » ont commencé à annoncer une variante de ransomware appelée Zeppelin. Au départ, le but était de partager le builder afin d’obtenir quelques avis sur le nouveau chiffreur Zeppelin (basé sur le malware VegaLocker et Buran).
En juin 2021, « buransupport » faisait la publicité d’un programme d’affiliation pour son « Ransomware hors ligne Zeppelin ».
Figure 6. Zeppelin offline crypto-locker advertisement on a cybercrime forum on 13 June 2021
L’auteur de la publication décrit les fonctionnalités du rançongiciel, notamment « un algorithme de cryptage robuste utilisant :
- une clé globale et de session + des clés de fichier aléatoires,
- l’analyse de tous les lecteurs locaux et de tous les chemins réseau disponibles,
- la haute vitesse, l’arrêt de certains processus pour libérer des fichiers et possibilité de crypter les fichiers sans changement d’extension.
« Buransupport » est toujours présent et actif sur les forums de cybercriminalité. Mais aucune activité liée au rançongiciel Zeppelin n’a été signalée en 2022.
SEKOIA.IO évalue que le groupe Vice Society reste actuellement sous le radar, probablement pour ne pas attirer les forces de l’ordre. l’attention des agences (LEA) et poursuivre leurs activités sur le long terme.
Quant au faible nombre d’échantillons liés à ViceSociety trouvés dans les référentiels publics, SEKOIA.IO estime qu’il est peut-être lié au manque de ressources de cybersécurité de leurs principaux secteurs verticaux ciblés – la santé et l’éducation. Une autre explication possible, telle que décrite par Talos, est que leurs techniques d’évasion défensive (par exemple , la suppression des journaux de sécurité), limitent la possibilité d’enquêter après l’incident.
IOCs de Vice Society
HelloKitty samples from end of 2021 (for Linux) with Vice Society ransom note:
78efe6f5a34ba7579cfd8fc551274029920a9086cb713e859f60f97f591a7b04
754f2022b72da704eb8636610c6d2ffcbdae9e8740555030a07c8c147387a537
Échantillons récents (mai 2022), utilisant le rançongiciel Zeppelin avec la note de rançon Vice Society. Certains de ces exemples utilisent des noms binaires Windows.
24efa10a2b51c5fd6e45da6babd4e797d9cae399be98941f950abf7b5e9a4cd7
307877881957a297e41d75c84e9a965f1cd07ac9d026314dcaff55c4da23d03e
Ab440c4391ea3a01bebbb651c80c27847b58ac928b32d73ed3b19a0b17dd7e75
Aa7e2d63fc991990958dfb795a0aed254149f185f403231eaebe35147f4b5ebe
bafd3434f3ba5bb9685e239762281d4c7504de7e0cfd9d6394e4a85b4882ff5d
Règles YARA du rançongiciel Zeppelin
Références
- SEKOIA.IO Cyber Threat Intelligence Investigation
- https://twitter .com/demonslay335/status/1403109032014061568
- https://www.theregister.com/2022/02/08/optionis_vice_society/
- https://www.bleepingcomputer.com/forums/t/708565/zeppelin-ransomware-support-topic/ page-7
- https://blog.talosintelligence.com/2021/08/vice-society-ransomware-printnightmare.html
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !
Lire aussi :
