La Vice Society ‘Ruthless’ revendique la responsabilité de l’attaque Spar – Tech Monitor
Le gang de ransomware Vice Society a revendiqué une attaque qui a fermé les machines de paiement par carte dans 600 succursales britanniques de la chaîne de supermarchés néerlandaise Spar. Il s’agit du dernier d’une série de piratages revendiqués par le gang, qui a été remarqué pour sa volonté de cibler les infrastructures publiques critiques telles que les écoles et les hôpitaux.
Vice Society et le hack Spar
Le mois dernier, une attaque de ransomware contre James Hall and Company, qui fournit des services de gros et des services informatiques à Spar au Royaume-Uni, a détruit des machines à cartes dans 600 magasins et contraint certains à fermer leurs portes.
Fin décembre, Vice Society a revendiqué l’attaque de sa page d’accueil sur le dark web. Le groupe a répertorié ses partenaires comme Spar, James Hall and Company et Heron et Brearly, ces derniers étant Spars, d’autres fournisseurs de gros au Royaume-Uni et sur l’île de Man.
Bien qu’il y ait peu de détails sur le piratage lui-même, le fait que des données volées soient apparues sur le dark web suggère qu’aucune rançon n’a été payée, a déclaré Steve Forbes, responsable des produits cyber chez Nominet. Spar avait évidemment mis en place de bons plans de continuité qui lui ont permis de maintenir le reste de l’entreprise en marche, ajoute Forbes, notant que seule une poignée de succursales a dû fermer.
Qu’est-ce que la vice-société ?
Vice Society a été aperçu pour la première fois en train de mener des attaques à la mi-2021, et le gang est connu pour son comportement impitoyable. Ils ne semblent pas avoir d’éthique ou de morale en termes de qui ils ciblent, dit Forbes. Le groupe a revendiqué la responsabilité d’attaques contre plusieurs districts scolaires, dont le Manhasset Union Free School District à Long Island et des prestataires de soins de santé tels que les United Health Centers de San Joaquin Valley, en Californie.
Vice Society semble posséder un haut niveau de compétences techniques, ses logiciels malveillants pouvant rester dans les systèmes sans être détectés. Nous les avons observés en prenant soin de désactiver et d’effacer les journaux système pour aider à masquer leurs traces lors de leurs attaques, explique Martin Lee, responsable technique de la recherche en sécurité chez Cisco Talos.
Les attaques précédentes du groupe pourraient faire la lumière sur la manière dont le piratage Spar a été mené, selon Forbes. Il y a certainement l’indication qu’ils ont utilisé la vulnérabilité PrintNightmare, qui semble être leur méthode d’entrée par défaut, dit-il.
La vulnérabilité PrintNightmare est une vulnérabilité d’exécution de code à distance du spouleur d’impression Windows qui est apparue dans la seconde moitié de 2021. Vice Society est l’un des rares groupes de ransomware qui ont été observés en utilisant la vulnérabilité PrintNightmare depuis début août 2021, déclare Chris Morgan, senior analyste de renseignements sur les cybermenaces pour la société de sécurité Digital Shadows. Le groupe utilise l’exploit pour obtenir des privilèges supplémentaires une fois qu’il a compromis un réseau cible. Nous pouvons seulement supposer que c’est ce qui s’est passé dans (le cas de Spar) également.
Bien que Vice Society ait été repérée pour la première fois par des chercheurs l’année dernière, on pense qu’elle est fortement liée à un groupe de ransomware bien établi appelé HelloKitty, et pourrait même être une réincarnation du groupe. HelloKitty a été actif pas plus tard qu’en décembre, et le FBI pense que le gang est basé en Ukraine.
Ils [Vice Society] seraient liés au groupe de rançongiciels HelloKitty, sur la base de similitudes avec certains de leurs modules de cryptage, selon Digital Shadows Morgan. Forbes est d’accord : je sais qu’ils ont été liés à HelloKitty car ils ont des outils et des processus très similaires qu’ils utilisent pour infiltrer les réseaux et se propager latéralement, ajoute-t-il.
Journaliste
Claudia Glover est journaliste à Moniteur technique.