24.12.2022 | Группировка Vice Society вооружилась кастомным шифровальщиком |
Исследователи SentinelOne обнаружили, что группировка Vice Society обзавелась кастомным вымогательским ПО, в котором реализована надежная схема шифрования с использованием алгоритмов NTRUEncrypt и ChaCha20-Poly1305. Эта версия шифровальщика получила название PolyVice. Она использовалась в одной из последних атак банды и добавляла расширение .ViceSociety ко всем зашифрованным файлам. Записки о выкупе под названием AllYFilesAE создавались в каждом зашифрованном каталоге. Исследователи предполагают, что программа-вымогатель находится на ранних стадиях разработки, так как в ее коде были обнаружены отладочные сообщения. Кроме того, PolyVice оказалась крайне похожа на RedAlert, из-за чего специалисты выдвинули предположение, что эти программы разработаны одной и той же группировкой. Дальнейшее расследование также показало, что кодовая база полезной нагрузки Vice Society для Windows использовалась для создания полезных нагрузок группировками Chily и SunnyDay. Схема шифрования, используемая PolyVice, сочетает асимметричное и симметричное шифрование для надежного шифрования файлов. Вредонос использует квантово-устойчивый алгоритм NTRUEncrypt для асимметричного шифрования и алгоритма ChaCha20-Poly1305 для симметричного шифрования. Вредонос использует функцию CreateThread для создания нескольких рабочих процессов и полагается на вызов WaitForMultipleObject для синхронизации с основным потоком. Основной поток и рабочие потоки используют порт завершения ввода-вывода для обмена данными. PolyVice выборочно применяет прерывистое шифрование :
В заключении отчета говорится, что появление PolyVice сделало группировку еще сильнее за счет надежной схемы шифрования. |
|
Проверить безопасность сайта
