La Vice Society utilise un ransomware personnalisé avec de nouveaux algorithmes de cryptage.
Les chercheurs de SentinelOne ont découvert que le groupe Vice Society a publié PolyVice, un ransomware personnalisé qui utilise un schéma de chiffrement fiable basé sur les algorithmes NTRUEncrypt et ChaCha20-Poly1305.
Le PolyVice est décrit comme un binaire de 64 bits qui utilise un schéma de chiffrement hybride combinant un chiffrement asymétrique utilisant l'algorithme NTRUEncrypt et un chiffrement symétrique utilisant l'algorithme ChaCha20-Poly1305.
Il utilise une stratégie multithreading qui parallélise le processus de cryptage sur l'ordinateur de la victime. Chaque unité de travail de ce traitement parallèle évalue la taille du fichier afin d'améliorer le rythme pour un cryptage plus rapide. Les fichiers de moins de 5 Mo sont entièrement chiffrés, tandis que les fichiers plus volumineux sont partiellement chiffrés. Cela s'ajoute à un schéma de cryptage hybride qui combine le cryptage asymétrique et symétrique pour crypter les fichiers en toute sécurité. Les fichiers de 5 à 100 Mo sont chiffrés en deux morceaux de 2,5 Mo, tandis que les fichiers plus volumineux sont chiffrés en dix morceaux de 2,5 Mo répartis sur l'ensemble du fichier.
Il ajoute ensuite l'extension de fichier .ViceSociety à tous les fichiers cryptés et place des notes de rançon dans chaque répertoire crypté avec le nom de fichier AllYFilesAE. En outre, chaque souche ajoute les informations nécessaires au décryptage dans le pied de page du fichier.
Le ransomware PolyVice a été utilisé dans une récente attaque du gang Vice Society avec une extension. On soupçonne qu'il provient du même fournisseur que les ransomwares Chilly et SunnyDay, car leurs caractéristiques sont similaires, avec de légères différences.
Cela suggère un "Locker-as-a-Service" proposé par un acteur de menace inconnu sous la forme d'un constructeur, qui permet aux acheteurs de personnaliser leurs charges utiles, notamment l'extension du fichier crypté, le nom du fichier de la note de rançon, le contenu de la note de rançon et le texte du fond d'écran, entre autres choses.
L'activité de Vice Society a été observée depuis juin 2021, avec des souches de ransomware tierces telles que "HelloKitty", "Five Hands" et "Zeppelin" toujours utilisées, selon SentinelOne. En outre, le groupe Vice Society a utilisé un chiffrement intermittent ou un chiffrement partiel, dans lequel de petits morceaux de fichiers sont chiffrés plutôt que le fichier entier. Cela rend les données inutilisables en une fraction du temps nécessaire pour crypter le fichier entier.
Les sources de cet article comprennent un article de TheHackerNews.