
Le gang de rançongiciels Avos a détourné le système de diffusion d’urgence de l’Université Bluefield, « RamAlert », pour envoyer aux étudiants et au personnel des SMS et des alertes par e-mail indiquant que leurs données avaient été volées et seraient bientôt publiées.
Bluefield University est une petite université privée située à Bluefield, en Virginie, qui compte environ 900 étudiants.
Le 30 avril, l’Université a révélé aux étudiants et au personnel qu’ils avaient subi une cyberattaque qui avait impacté les systèmes informatiques, entraînant le report de tous les examens.
À l’époque, l’Université a affirmé que son enquête n’avait trouvé aucune preuve de cas de fraude financière ou d’usurpation d’identité liés à cet incident.
« Les professeurs et les étudiants peuvent utiliser et accéder en toute sécurité aux ressources de MyBU, Canvas et de la bibliothèque via le site Web de l’université », a expliqué l’Université Bluefield.
Cependant, l’incident a pris une mauvaise tournure le 1er mai 2023, les acteurs de la menace Avos (alias AvosLocker) ayant toujours accès au système RamAlert de l’Université, un système d’alerte d’urgence utilisé pour avertir les étudiants et le personnel par e-mail et SMS des urgences du campus ou des menaces.
Comme indiqué pour la première fois par WVVA, le gang de rançongiciels a utilisé le système RamAlert pour envoyer des alertes par SMS et par e-mail avertissant que des données personnelles avaient été volées et seraient publiées si l’Université Bluefield ne payait pas de demande de rançon.
« Bonjour les étudiants de l’Université Bluefield ! Nous sommes Avoslocker Ransomwar. Nous avons piraté le réseau universitaire pour exfiltrer des fichiers de 1,2 To », lit-on dans l’une des alertes aux étudiants et au personnel.
« Nous avons des données d’admission de milliers d’étudiants. Vos informations personnelles risquent d’être divulguées sur le blog darkweb. »
« NE LAISSEZ PAS l’Université mentir sur la gravité de l’attaque ! Pour preuve, nous divulguons un échantillon lundi 1er mai 2023 à 18:00:00 GMT (14:00:00) »
Des alertes supplémentaires ont partagé des liens et des instructions sur l’accès au site de fuite de données du gang de rançongiciels pour voir d’autres messages sur l’attaque et toute fuite de données.

Le message final transmis par le biais du système RamAlert détourné exhortait les destinataires à partager les informations avec les médias et menaçait de publier toutes les données volées si l’Université ne leur versait pas de rançon.
Plus tard dans la journée, le gang de rançongiciels a publié une quantité limitée de données volées, notamment un formulaire fiscal W-2 pour le président de l’université et un document lié à leur police d’assurance.
L’utilisation du système d’alerte d’urgence vise probablement à empêcher l’administration de l’Université de minimiser l’impact de la cyberattaque ou d’affirmer qu’aucune donnée n’a été volée, ce qui augmente essentiellement la pression d’extorsion sur l’établissement d’enseignement.
L’Université Bluefield a publié une mise à jour sur la cyberattaque, informant les étudiants et le personnel que les efforts de remédiation et de restauration du système sont toujours en cours, et qu’ils n’ont toujours trouvé aucune preuve d’abus des données des étudiants.
Cependant, l’institut d’enseignement a reconnu que son système d’alertes d’urgence avait été piraté et a exhorté les personnes contactées par les cybercriminels à ne cliquer sur aucun lien ou à ne pas répondre à ces messages.
Les groupes de rançongiciels ont utilisé plusieurs méthodes pour augmenter la pression sur leurs victimes avec une double et triple extorsion, notamment en appelant leurs partenaires, en envoyant des e-mails à leurs clients, en envoyant des e-mails à leurs concurrents ou en configurant des portails de fuite de données avec des fonctionnalités de recherche.
Le détournement d’un système d’alertes d’urgence semble être une nouvelle méthode d’extorsion. Bien qu’il puisse s’agir d’un cas opportuniste, cela montre jusqu’où vont les acteurs des ransomwares pour amplifier leur chantage.