zephyr_p - stock.adobe.com
Ransomware : le groupe Vice Society exploite les vulnérabilités PrintNightmare
Selon la division Talos de Cisco, les vulnérabilités PrintNightmare affectant le spooler d’impression de Windows, corrigées par Microsoft au mois de juillet, figurent en bonne place dans l’arsenal du groupe récemment apparu Vice Society.
Les vulnérabilités fortement médiatisées de Microsoft, PrintNightmare, sont exploitées par un groupe de cybermaîtres chanteurs apparu au mois de juin, Vice Society, selon Cisco Talos. Pour mémoire, ces deux bogues peuvent être exploités successivement pour obtenir une exécution de code à distance.
« Vice Society est un acteur relativement nouveau dans le domaine des ransomwares », expliquent Edmund Brumaghin, Joe Marshall et Arnaud Zobec, chercheurs chez Cisco Talos, dans un billet de blog. « Ils ont émergé à la mi-2021 et ont été observés lançant des attaques de chasse au gros gibier et de double extorsion, ciblant principalement des victimes de petite ou moyenne taille ».
Les bogues PrintNightmare, CVE-2021-1675 et CVE-2021-34527, affectent le service de spooler d’impression des systèmes Windows. Les vulnérabilités ne sont pas utilisées comme point d’accès initial, mais sont plutôt exploitées pour un déplacement latéral, les attaquants passant d’un système à l’autre dans le but d’atteindre des bases de données et des serveurs de valeur.
Comme beaucoup d’autres rançonneurs modernes, Vice Society utilise une double technique qui consiste non seulement à chiffrer les données de la victime, mais aussi à menacer de rendre publiques des informations dérobées lors de l’attaque, si la cible ne paie pas la rançon dans un délai déterminé.
Selon Cisco Talos, Vice Society cherche à pousser ce concept un peu plus loin en recherchant activement et en détruisant toutes les sauvegardes qu’il peut trouver. Cela fait, la victime n’a plus la possibilité de restaurer les systèmes infectés. L’approche n’est pas isolée et s’avère redoutable.
« Nous avons observé des tentatives d’accès à la solution de sauvegarde utilisée dans l’environnement, probablement pour empêcher l’organisation de se rétablir sans payer la rançon demandée », expliquent les chercheurs de Cisco Talos. Et de relever que « la commande “sudo” a été utilisée pour obtenir des informations d’identification associées à une solution de sauvegarde commerciale, essayant probablement d’accéder aux sauvegardes présentes dans l’environnement ».
Microsoft a diffusé une mise à jour pour corriger le bug PrintNightmare le mois dernier, mais les failles restent présentes dans de nombreux réseaux d’entreprises, gouvernementaux et universitaires, où les nouvelles mises à jour sont parfois déployées avec des mois de retard. Il est recommandé aux utilisateurs et aux administrateurs d’appliquer les correctifs dès que possible.
Bien que Vice Society soit un nom relativement nouveau dans le domaine des ransomwares, il est possible que certains des membres du groupe soient déjà passés par d’autres et s’avèrent expérimentés.