ClickCease Un groupe de ransomwares menace les utilisateurs finaux comme s'il s'agissait du Far West

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Un groupe de ransomwares menace les utilisateurs finaux comme s'il s'agissait du Far West

Le 1er juin 2023 - L'équipe de relations publiques de TuxCare

Les auteurs de ransomwares ne cessent de concevoir des stratégies innovantes pour contraindre leurs victimes à répondre à leurs exigences. Mais dans la plupart des cas, les menaces visent ceux qui peuvent payer : les cadres supérieurs de l'organisation, voire ses actionnaires.

Les utilisateurs finaux, c'est-à-dire les personnes qui utilisent quotidiennement les technologies de l'information de l'organisation, ne sont généralement pas dans la ligne de mire. Pourtant, en mai 2023, nous avons assisté à la première fois où un groupe de ransomware a utilisé un système de diffusion d'urgence pour menacer directement les utilisateurs finaux, dans le but d'amener l'organisation cible à payer.

On se croirait vraiment dans l'Ouest sauvage, et le fait que certaines victimes soient si malheureuses dans leur réaction face à une attaque de ransomware n'arrange rien. Voyons ce qui s'est passé il y a quelques semaines à l'université de Bluefield.

 

Attaque contre un établissement d'enseignement

 

Le 30 avril, les administrateurs système ont découvert qu'un groupe de ransomware nommé Avos s'était infiltré dans l'université de Bluefield, une université privée de Virginie qui accueille environ 900 étudiants.

L'infection par le ransomware a commencé fin avril et a été suffisamment grave pour que l'université reporte temporairement tous les examens. L'université a affirmé à l'époque que les coupables n'avaient pas commis de fraude financière ou d'usurpation d'identité. L'université de Bluefield a annoncé l'attaque comme suit :

"Comme vous le savez, le dimanche 30 avril 2023, l'Université de Bluefield a découvert une attaque de cybersécurité qui a affecté nos systèmes. Dès que nous avons pris connaissance de ce problème, nous avons immédiatement engagé des experts indépendants en cybersécurité pour nous aider dans notre examen et nos efforts de remédiation... à ce jour, nous n'avons aucune preuve indiquant que les informations impliquées ont été utilisées pour une fraude financière ou une usurpation d'identité."

Qui est Avos ? Le Federal Bureau of Investigation (FBI) identifie Avos ou (AvosLocker) comme un groupe affilié fournissant des ransomwares en tant que service, et comme un groupe ayant spécifiquement ciblé divers secteurs d'infrastructures critiques aux États-Unis. Ces secteurs comprennent, sans s'y limiter, les services financiers, les industries critiques et les installations gouvernementales.

 

Menacer les utilisateurs finaux

 

Les Avos n'ont probablement pas obtenu ce qu'ils voulaient assez rapidement, car le groupe a pris une mesure d'escalade. Dans la plupart des cas, les acteurs de la menace ont tendance à communiquer avec les personnes en position de force au sein d'une organisation, c'est-à-dire celles qui peuvent payer la rançon demandée par le ransomware. Dans le cas présent, Avos a décidé, pour une raison quelconque, de menacer directement les étudiants de l'université, par l'intermédiaire du système de notification d'urgence de l'université. 

Au début du mois de mai, un lundi avant midi, le groupe de ransomware a envoyé un message à tous les étudiants de l'université par l'intermédiaire du service de messagerie d'urgence RamAlert de l'université, qui transmet des messages critiques par SMS. Le message disait :

"Nous sommes le ransomware Avoslocker. Nous avons piraté le réseau de l'université pour exfiltrer 1,2 TB de fichiers. Nous avons les données d'admission de milliers d'étudiants. Vos informations personnelles risquent d'être divulguées sur un blog du dark web. Ne permettez pas à l'université de mentir sur la gravité de l'attaque".

Les Avos ont pu le faire parce que le système RamAlert était l'un des nombreux systèmes de l'université de Bluefield dont ils ont réussi à prendre le contrôle. 

Il s'agit d'une initiative audacieuse de la part du groupe de ransomware, qui visait vraisemblablement à faire pression sur les administrateurs de l'université pour qu'ils paient. Il est difficile de savoir ce qu'ont ressenti les étudiants, mais il n'a pas dû être agréable d'être informé de manière aussi viscérale que ses données personnelles risquent d'être exposées.

 

Une victime malchanceuse ?

 

Alors qu'Avos communiquait directement avec les étudiants, la communication de l'université avec les étudiants était pour le moins déficiente. Dans un premier temps, l'université a déclaré qu'elle ne voyait aucune preuve de "vol d'identité", mais elle n'a jamais averti les étudiants qu'il y avait un risque très réel que cela se produise.

Le 13 mars, des rapports ont fait surface, suggérant que, sans surprise, le vol d'identité est une préoccupation dans ce cas. Selon les rapports de DataBreaches.netl'université n'a pas alerté ses étudiants de la vulnérabilité permanente de son système, qui permet à un cyberacteur malveillant d'accéder à des fichiers et de se les procurer.

DataBreaches.net a reçu un message du groupe de pirates informatiques contenant les données personnelles d'un candidat à une bourse d'études. La veille, l'étudiant en question avait rempli un formulaire de demande de bourse d'études en Virginie contenant son numéro de sécurité sociale, sa date de naissance et d'autres informations personnelles - et Avos lui a fourni tous les détails.

Il est difficile de dire si les rapports de DataBreaches.net sont exacts ou non, mais la situation rappelle le partage gratuit de données personnelles lors de la violation du système scolaire public de Minneapolis en mars. Dans ce cas, les pirates ont publié des données personnelles, y compris des dates d'anniversaire, des numéros de sécurité sociale et, pire encore, des informations sensibles. en divulguant les informations sensibles de centaines d'enfants de centaines d'enfants ayant des besoins particuliers qui fréquentaient l'école.

La vie en rose, la vie en noir et blanc

 

Cet incident s'inscrit dans une tendance plus large d'attaques par ransomware visant des écoles, des entreprises et des organismes gouvernementaux à travers les États-Unis. Les pirates informatiques utilisent souvent diverses méthodes pour contraindre leurs victimes, notamment en chiffrant les fichiers informatiques, en publiant les informations volées sur leurs sites web et en faisant la promotion de leurs crimes. Toutefois, il semble que ce soit la première fois qu'un système d'alerte d'urgence soit utilisé pour faire pression sur une victime.

Le groupe de pirates informatiques responsable de cette attaque est principalement russophone, selon des informations trouvées dans des forums clandestins. Il est généralement difficile pour les services répressifs américains d'atteindre directement ce type de groupe.

Cet incident illustre deux choses : oui, il faut protéger votre système contre les ransomwares par tous les moyens possibles. Mais même si vous disposez d'un dispositif de cybersécurité de classe mondiale, les pirates peuvent toujours s'introduire dans votre système. Ce que vous faites ensuite est vraiment important.

Vous craignez une attaque de ransomware ou vous en avez déjà été victime ? Lisez notre guide sur la réaction aux ransomwares pour savoir comment votre organisation peut répondre en toute confiance et communiquer clairement en cas d'attaque par ransomware.

Résumé
Un groupe de ransomwares menace les utilisateurs finaux comme s'il s'agissait du Far West
Nom de l'article
Un groupe de ransomwares menace les utilisateurs finaux comme s'il s'agissait du Far West
Description
Les auteurs de ransomwares ne cessent de concevoir des stratégies innovantes pour contraindre leurs victimes. Mais que s'est-il passé à l'université de Bluefield ?
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information