Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Группировка Vice Society вооружилась кастомным шифровальщиком

26/12/22

hack24-Dec-26-2022-11-38-52-6369-AM

Исследователи SentinelOne обнаружили, что группировка Vice Society обзавелась кастомным вымогательским ПО, в котором реализована надежная схема шифрования с использованием алгоритмов NTRUEncrypt и ChaCha20-Poly1305.

Эта версия шифровальщика получила название PolyVice. Она использовалась в одной из последних атак банды и добавляла расширение ViceSociety ко всем зашифрованным файлам, передает Securitylab. Записки о выкупе под названием AllYFilesAE создавались в каждом зашифрованном каталоге.

Исследователи предполагают, что программа-вымогатель находится на ранних стадиях разработки, так как в ее коде были обнаружены отладочные сообщения. Кроме того, PolyVice оказалась крайне похожа на RedAlert, из-за чего специалисты выдвинули предположение, что эти программы разработаны одной и той же группировкой.

Дальнейшее расследование также показало, что кодовая база полезной нагрузки Vice Society для Windows использовалась для создания полезных нагрузок группировками Chily и SunnyDay.

Схема шифрования, используемая PolyVice, сочетает асимметричное и симметричное шифрование для надежного шифрования файлов. Вредонос использует квантово-устойчивый алгоритм NTRUEncrypt для асимметричного шифрования и алгоритма ChaCha20-Poly1305 для симметричного шифрования.

Вредонос использует функцию CreateThread для создания нескольких рабочих процессов и полагается на вызов WaitForMultipleObject для синхронизации с основным потоком. Основной поток и рабочие потоки используют порт завершения ввода-вывода для обмена данными.

PolyVice выборочно применяет прерывистое шифрование:

  • Файлы размером менее 5 МБ шифруются полностью;
  • Файлы размером от 5 МБ до 100 МБ шифруются частично:
  • 5 МБ контента шифруется путем разделения на 2 части по 2,5 МБ. Первый фрагмент сверху и второй фрагмент снизу файла.
  • Файлы размером более 100 МБ шифруются частично:
  • 25 МБ контента делятся на 10 фрагментов по 2,5 МБ и распределяются через каждые 10% размера файла.

В заключении отчета говорится, что появление PolyVice сделало группировку еще сильнее за счет надежной схемы шифрования.

Темы:УгрозышифровальщикиSentinelOne
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...