Vice Society 勒索软件操作已转为使用自定义勒索软件加密,该加密实施基于 NTRUEncrypt 和 ChaCha20-Poly1305 的强大混合加密方案。
根据发现新病毒并将其命名为“PolyVice”的网络安全公司 SentinelOne 的说法,Vice Society 很可能是从一家为其他勒索软件组织提供类似工具的供应商处采购的。
Vice Society 于 2021 年夏天首次出现,当时他们开始从公司网络窃取数据并加密设备。然后,威胁行为者将执行双重勒索攻击,威胁如果不支付赎金就公布数据。
从历史上看,Vice Society 在攻击期间使用过其他勒索软件操作的加密器,包括 Zeppelin、Five Hands 和 HelloKitty。
然而,这似乎已经改变,Vice Society 现在使用一种新的加密器,据信该加密器是由商品勒索软件生成器生成的。
新的“PolyVice”加密器
然而,新的 PolyVice 变种为 Vice Society 攻击提供了一个独特的签名,将“.ViceSociety”扩展名附加到锁定的文件上,并删除名为“AllYFilesAE”的赎金票据。

来源:BleepingComputer
新变种于 2022 年 7 月 13 日首次在野外出现,但直到很久以后才被该组织完全采用。
SentinelOne 的分析表明,PolyVice 与 Chilly 勒索软件和 SunnyDay 勒索软件具有广泛的代码相似性,功能 100% 匹配。

不同之处在于特定于活动的细节,如文件扩展名、赎金票据名称、硬编码主密钥、墙纸等,这些细节支持常见的供应商假设。
SentinelOne在报告中 解释说:“代码设计表明勒索软件开发人员提供了一个构建器,使购买者能够通过对模板有效负载进行二进制修补来独立生成任意数量的储物柜/解密器。”
“这允许买家在不透露任何源代码的情况下定制他们的勒索软件。与其他已知的 RaaS 构建器不同,买家可以生成品牌有效负载,使他们能够运行自己的 RaaS 程序。”
混合加密
PolyVice 采用混合加密方案,将非对称加密与 NTRUEncrypt 算法相结合,对称加密与 ChaCha20-Poly1305 算法相结合。
启动后,有效载荷会导入一个预先生成的 192 位 NTRU 公钥,然后在受感染的系统上生成一个随机的 112 位 NTRU 私钥对,这对每个受害者都是唯一的。
这对然后用于加密 ChaCha20-Poly1305 对称密钥,这些密钥对每个文件都是唯一的。最后,NTRU 密钥对最终使用公共 NTRU 密钥加密,以防止检索尝试。

PolyVice 勒索软件是一个 64 位二进制文件,它使用多线程进行并行对称数据加密,充分利用受害者的处理器来加速加密过程。
此外,每个 PolyVice 工作人员都会读取文件内容以确定在每种情况下可以应用哪些速度优化。这些优化取决于文件大小,PolyVice 有选择地应用间歇性加密。
- 小于 5MB 的文件已完全加密。
- 5MB 到 100MB 之间的文件被部分加密,将它们分成 2.5MB 的块并每隔一个块跳过一次。
- 大于 100MB 的文件被分成十个均匀分布的块,每个块中有 2.5MB 被加密。
加密后,每个 PolyVice 工作人员将解密所需的信息写入文件页脚。

所有这些特征表明,开发 Vice Society、Chilly 和 SunnyDay 勒索软件所使用的新勒索软件毒株的人都是经验丰富、知识渊博的恶意软件创建者。
总之,SentinelOne 的调查结果进一步强调了该领域的外包趋势,勒索软件团伙向专家支付费用以创建复杂的高性能工具。
根据可用性和成本的水平,这些工具可能会让低技能的勒索软件参与者更容易发动灾难性攻击并对组织造成重大损害。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Vice Society勒索软件团伙切换到新的自定义加密器