Deuxième plus grande commission scolaire des États-Unis pour la gestion des écoles, le Los Angeles Unified School District (LAUSD) en Californie comprend plus d’un millier d’écoles et plus de 640 000 élèves. Début septembre, le LAUSD a été la victime d’une attaque par ransomware qui a paralysé son système informatique.
Deux semaines après la cyberattaque, le LAUSD a reçu une demande de rançon en échange de la restitution de données dérobées. Un schéma désormais classique de double extorsion avec des attaquants qui ne se contentent pas de chiffrer des données pour monnayer un outil de déchiffrement. Ils exfiltrent aussi des données pour faire pression et en menaçant de les divulguer.
Le montant exigé n’est pas connu, mais le LAUSD a refusé de payer une rançon. » Le paiement d’une rançon ne garantit jamais la récupération complète des données et Los Angeles Unified estime que les deniers publics sont mieux utilisés pour nos élèves que pour capituler devant un syndicat du crime néfaste et illicite. «
Vice Society revendique la cyberattaque
Les cybercriminels ont mis leur menace à exécution ce week-end en publiant une archive de 500 Go de données. Selon TechCrunch, elle contient des informations d’identification personnelle, y compris des numéros de sécurité sociale, détails sur des passeports et formulaires fiscaux. Parmi d’autres données, il y aurait également des documents juridiques, rapports financiers, informations de santé et des évaluations psychologiques d’élèves.
La cyberattaque a été revendiquée par le groupe Vice Society qui a déjà à son tableau de chasse en 2022 d’autres cibles dans le milieu scolaire et de l’éducation. Même s’il demeure relativement discret, ce groupe de ransomware avait aussi fait parler de lui en France en 2021 avec une attaque contre le centre hospitalier d’Arles.
Dans une publication sur son site qui était en ligne sur le Dark Web et un email transmis à TechCrunch, Vice Society a laissé entendre que la CISA (Cybersecurity and Infrastructure Security Agency) aurait bloqué la publication des données et » a eu tort » de conseiller au LAUSD de ne pas payer la rançon.
Vice Society has posted what it claims is data stolen from #LAUSD, claiming « CISA wasted our time » (which can probably be translated to CISA having successfully stalled the release of the data.) 1/2 pic.twitter.com/xC1PS1QVW4
— Brett Callow (@BrettCallow) October 2, 2022
Un groupe russophone
Selon l’agence américaine de cybersécurité et de sécurité des infrastructures, Vice Society cible désormais de manière disproportionnée le secteur de l’éducation avec ses attaques par ransomware. Vice Society est présenté comme un groupe de pirates informatiques spécialisés dans l’intrusion, l’exfiltration et l’extorsion. Il a fait son apparition pendant l’été 2021.
Avant de déployer un ransomware, Vice Society prend le temps d’explorer un réseau informatique infiltré et pour évaluer les possibilités d’exfiltration de données. Le point d’entrée est généralement un accès via des informations d’identification compromises en exploitant des applications accessibles sur internet. D’après Malwarebytes Labs, Vice Society serait basé en Russie.