Vice Society verwendet maßgeschneiderte Ransomware mit neuen Verschlüsselungsalgorithmen

SentinelOne-Forscher entdeckten, dass die Gruppe Vice Society PolyVice veröffentlicht hat, eine maßgeschneiderte Ransomware, die ein zuverlässiges Verschlüsselungsschema verwendet, das auf den Algorithmen NTRUEncrypt und ChaCha20-Poly1305 basiert.

Der PolyVice wird als 64-Bit-Binärdatei beschrieben, die ein hybrides Verschlüsselungsschema verwendet, das asymmetrische Verschlüsselung mit dem NTRUEncrypt-Algorithmus und symmetrische Verschlüsselung mit dem ChaCha20-Poly1305-Algorithmus kombiniert.

Es verwendet eine Multithreading-Strategie, die den Verschlüsselungsprozess auf dem Computer des Opfers parallelisiert. Jede Arbeitseinheit in dieser parallelen Verarbeitung bewertet die Dateigröße, um das Tempo für eine schnellere Verschlüsselung zu verbessern. Dateien, die kleiner als 5 MB sind, werden vollständig verschlüsselt, während größere Dateien nur teilweise verschlüsselt werden. Dies geschieht zusätzlich zu einem hybriden Verschlüsselungsschema, das asymmetrische und symmetrische Verschlüsselung kombiniert, um Dateien sicher zu verschlüsseln. Dateien zwischen 5 MB und 100 MB werden in zwei 2,5-MB-Blöcken verschlüsselt, während größere Dateien in zehn 2,5-MB-Blöcken über die Datei verteilt verschlüsselt werden.

Er fügt dann die Dateierweiterung.ViceSociety an alle verschlüsselten Dateien an und legt in jedem verschlüsselten Verzeichnis Erpresserbriefe mit dem Dateinamen AllYFilesAE ab. Darüber hinaus fügt jeder Stamm der Fußzeile der Datei die für die Entschlüsselung erforderlichen Informationen hinzu.

Die Ransomware PolyVice wurde bei einem kürzlich erfolgten Angriff der Vice Society-Bande mit einer Erweiterung verwendet. Es wird vermutet, dass sie vom selben Anbieter stammt wie die Ransomware Chilly und SunnyDay, da ihre Funktionen mit leichten Unterschieden ähnlich sind.

Dies deutet auf einen "Locker-as-a-Service" hin, der von einem unbekannten Bedrohungsakteur in Form eines Builders angeboten wird, der es den Käufern ermöglicht, ihre Nutzdaten anzupassen, einschließlich der verschlüsselten Dateierweiterung, des Dateinamens der Lösegeldforderung, des Inhalts der Lösegeldforderung und des Hintergrundtextes, um nur einige zu nennen.

Die Aktivitäten der Vice Society wurden seit Juni 2021 beobachtet, wobei laut SentinelOne stets Ransomware-Stämme von Drittanbietern wie "HelloKitty", "Five Hands" und "Zeppelin" verwendet wurden. Darüber hinaus verwendete die Vice Society-Gruppe eine intermittierende Verschlüsselung oder eine Teilverschlüsselung, bei der nicht die gesamte Datei, sondern nur kleine Teile davon verschlüsselt werden. Dadurch werden die Daten in einem Bruchteil der Zeit unbrauchbar, die für die Verschlüsselung der gesamten Datei erforderlich wäre.

Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.