Η επιχείρηση ransomware Vice Society υιοθέτησε πρόσφατα έναν custom ransomware encrypt, συνδυάζοντας δύο ισχυρές τεχνικές: NTRUEncrypt και ChaCha20-Poly1305. Αυτό το υβριδικό σχήμα δημιουργεί μια απίστευτα ισχυρή κρυπτογράφηση που είναι πρακτικά άθραυστη.

Η SentinelOne, μια εταιρεία κυβερνοασφάλειας που ανακάλυψε το νέο στέλεχος με την ονομασία “PolyVice”, πιστεύει ότι πιθανότατα η ομάδα Vice Society το απέκτησε από έναν εξωτερικό προμηθευτή με πρόσβαση σε παρόμοια εργαλεία ransomware που χρησιμοποιούνται από άλλες ομάδες.

Το καλοκαίρι του 2021 εμφανίστηκε η Vice Society – ένας απειλητικός φορέας που συμμετείχε σε απόπειρες διπλού εκβιασμού. Εισέβαλαν σε εταιρικά δίκτυα για να υποκλέψουν δεδομένα και κρυπτογραφημένες συσκευές πριν απαιτήσουν πληρωμή με την υπόσχεση ότι δεν θα έδιναν ποτέ αυτές τις πληροφορίες αν ικανοποιούνταν οι απαιτήσεις τους.

Ιστορικά, το Vice Society έχει χρησιμοποιήσει κρυπτογραφητές άλλων λειτουργιών ransomware κατά τη διάρκεια επιθέσεων, συμπεριλαμβανομένων των Zeppelin, Five Hands και HelloKitty.

Ωστόσο, φαίνεται ότι η Vice Society έχει προσαρμοστεί ενσωματώνοντας έναν νέο encryptor, για τον οποίο υπάρχουν υποψίες ότι παράγεται από έναν προσβάσιμο κατασκευαστή ransomware.

Νέος “PolyVice” encryptor

Το νέο στέλεχος PolyVice, ωστόσο, δίνει στις επιθέσεις Vice Society μια μοναδική υπογραφή, προσθέτοντας την επέκταση “.ViceSociety” σε κλειδωμένα αρχεία και ρίχνοντας σημειώσεις λύτρων με το όνομα “AllYFilesAE”.

Στις 13 Ιουλίου 2022, η ομάδα συνάντησε για πρώτη φορά τη νέα παραλλαγή στο περιβάλλον της, ωστόσο την αγκάλιασε πλήρως μόνο πολύ αργότερα.

Η έρευνα της SentinelOne αποκαλύπτει ότι το PolyVice μοιράζεται αξιοσημείωτες ομοιότητες κωδικοποίησης με το Chilly ransomware και το SunnyDay ransomware, παρουσιάζοντας αντιστοιχία 100% στις λειτουργίες.

Διακριτικά χαρακτηριστικά όπως η επέκταση αρχείου, το όνομα του σημειώματος λύτρων, το σκληρά κωδικοποιημένο κύριο κλειδί και η ταπετσαρία ενισχύουν το γεγονός ότι ένας μόνο προμηθευτής είναι πιθανότατα πίσω από πολλαπλές εκστρατείες.

Υβριδικό encryption

Το PolyVice έχει υλοποιήσει ένα μοναδικό σύστημα κρυπτογράφησης συνδυάζοντας δύο διαφορετικούς τύπους κρυπτογράφησης: ασύμμετρη κρυπτογράφηση με χρήση του αλγορίθμου NTRUEncrypt και συμμετρική κρυπτογράφηση με ChaCha20-Poly1305. Αυτή η υβριδική προσέγγιση εξασφαλίζει ασφαλή μετάδοση δεδομένων με υψηλή ακρίβεια.

Κατά την ενεργοποίηση, ένα προϋπάρχον δημόσιο κλειδί NTRU 192 bit φορτώνεται στο payload, ακολουθούμενο από τη δημιουργία ενός τυχαίου ζεύγους ιδιωτικών κλειδιών NTRU 112 bit στο μολυσμένο σύστημα. Αυτό το ιδιωτικό κλειδί είναι μοναδικό για κάθε προσβεβλημένο άτομο.

Αυτό το ζεύγος χρησιμοποιείται στη συνέχεια για την κρυπτογράφηση των συμμετρικών κλειδιών ChaCha20-Poly1305, τα οποία είναι μοναδικά για κάθε αρχείο. Τέλος, το ζεύγος κλειδιών NTRU κρυπτογραφείται τελικά χρησιμοποιώντας το δημόσιο κλειδί NTRU για την προστασία

του από προσπάθειες ανάκτησης.

Το PolyVice είναι ένα εκτελέσιμο πρόγραμμα 64-bit που αξιοποιεί τη δύναμη της πολυνηματικής και παράλληλης συμμετρικής κρυπτογράφησης δεδομένων για να κρυπτογραφήσει γρήγορα τα αρχεία των θυμάτων. Επιπλέον, μπορεί επίσης να προσαρμόσει τις βελτιστοποιήσεις ταχύτητας με βάση το μέγεθος του αρχείου – χρησιμοποιώντας επιλεκτικά μια διακεκομμένη μέθοδο κρυπτογράφησης για περαιτέρω βελτιστοποίηση των επιδόσεων.

Μετά την κρυπτογράφηση, κάθε “υπάλληλος” του PolyVice προσθέτει τα απαραίτητα δεδομένα για την αποκρυπτογράφηση στο υποσέλιδο του αρχείου.

Τα διάφορα χαρακτηριστικά των νέων στελεχών ransomware που χρησιμοποιούνται από τα Vice Society, Chilly και SunnyDay υποδηλώνουν ότι ο δημιουργός τους είναι ένας πολύ έμπειρος προγραμματιστής κακόβουλου λογισμικού που διαθέτει σημαντική τεχνογνωσία σε αυτόν τον τομέα.

Τελικά, οι ανακαλύψεις της SentinelOne ενισχύουν την τάση της ανάθεσης σε εξωτερικούς συνεργάτες μεταξύ των συμμοριών ransomware που πληρώνουν για προηγμένα και αποτελεσματικά εργαλεία που δημιουργούνται από ειδικούς.

Με την εύκολη πρόσβαση και την προσιτή τιμή τους, τα εργαλεία αυτά θα μπορούσαν να δώσουν σε λιγότερο έμπειρους χάκερ τη δυνατότητα να εκτελούν επιθέσεις ransomware που προκαλούν μεγάλη ζημιά σε εταιρείες και οργανισμούς.

Ο καλύτερος τρόπος για να προστατευτείτε από τις επιθέσεις ransomware είναι η πρόληψη. Βεβαιωθείτε ότι το σύστημά σας έχει εγκαταστήσει και εκτελεί συνεχώς ενημερωμένο λογισμικό προστασίας από ιούς, ώστε οι κακόβουλοι φορείς να μην μπορούν να διεισδύσουν στις άμυνες του υπολογιστή σας. Επιπλέον, ενημερώστε το λειτουργικό σας σύστημα και το λοιπό λογισμικό σας αμέσως μόλις γίνουν διαθέσιμες νέες διορθώσεις- αυτό θα βοηθήσει να διατηρήσετε το σύστημά σας ασφαλές από γνωστές ευπάθειες που θα μπορούσαν να αξιοποιηθούν από επιτιθέμενους. Τέλος, βεβαιωθείτε ότι δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας, ώστε να μπορείτε να τα επαναφέρετε εάν χρειαστεί, χωρίς να χρειαστεί να πληρώσετε τους χάκερ.

Πηγή πληροφοριών: bleepingcomputer.com