ClickCease Vice Society utilise un ransomware personnalisé avec de nouveaux algorithmes

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

La Vice Society utilise un ransomware personnalisé avec de nouveaux algorithmes de cryptage.

par Claudia Cejas

Le 6 janvier 2023 - L'équipe d'experts de TuxCare

Les chercheurs de SentinelOne ont découvert que le groupe Vice Society a publié PolyVice, un ransomware personnalisé qui utilise un schéma de chiffrement fiable basé sur les algorithmes NTRUEncrypt et ChaCha20-Poly1305.

Le PolyVice est décrit comme un binaire de 64 bits qui utilise un schéma de chiffrement hybride combinant un chiffrement asymétrique utilisant l'algorithme NTRUEncrypt et un chiffrement symétrique utilisant l'algorithme ChaCha20-Poly1305.

Il utilise une stratégie multithreading qui parallélise le processus de cryptage sur l'ordinateur de la victime. Chaque unité de travail de ce traitement parallèle évalue la taille du fichier afin d'améliorer le rythme pour un cryptage plus rapide. Les fichiers de moins de 5 Mo sont entièrement chiffrés, tandis que les fichiers plus volumineux sont partiellement chiffrés. Cela s'ajoute à un schéma de cryptage hybride qui combine le cryptage asymétrique et symétrique pour crypter les fichiers en toute sécurité. Les fichiers de 5 à 100 Mo sont chiffrés en deux morceaux de 2,5 Mo, tandis que les fichiers plus volumineux sont chiffrés en dix morceaux de 2,5 Mo répartis sur l'ensemble du fichier.

Il ajoute ensuite l'extension de fichier .ViceSociety à tous les fichiers cryptés et place des notes de rançon dans chaque répertoire crypté avec le nom de fichier AllYFilesAE. En outre, chaque souche ajoute les informations nécessaires au décryptage dans le pied de page du fichier.

Le ransomware PolyVice a été utilisé dans une récente attaque du gang Vice Society avec une extension. On soupçonne qu'il provient du même fournisseur que les ransomwares Chilly et SunnyDay, car leurs caractéristiques sont similaires, avec de légères différences.

Cela suggère un "Locker-as-a-Service" proposé par un acteur de menace inconnu sous la forme d'un constructeur, qui permet aux acheteurs de personnaliser leurs charges utiles, notamment l'extension du fichier crypté, le nom du fichier de la note de rançon, le contenu de la note de rançon et le texte du fond d'écran, entre autres choses.

L'activité de Vice Society a été observée depuis juin 2021, avec des souches de ransomware tierces telles que "HelloKitty", "Five Hands" et "Zeppelin" toujours utilisées, selon SentinelOne. En outre, le groupe Vice Society a utilisé un chiffrement intermittent ou un chiffrement partiel, dans lequel de petits morceaux de fichiers sont chiffrés plutôt que le fichier entier. Cela rend les données inutilisables en une fraction du temps nécessaire pour crypter le fichier entier.

Les sources de cet article comprennent un article de TheHackerNews.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !