기술 지원
문서
로그인
문의하기
새로운 암호화 알고리즘이 적용된 맞춤형 랜섬웨어를 사용하는 Vice Society
2023년 1월 4일 TuxCare 홍보팀
센티넬원 연구원들은 바이스 소사이어티 그룹이 신뢰할 수 있는 암호화 체계를 사용하는 맞춤형 랜섬웨어인 PolyVice를 출시했으며, 이 랜섬웨어는 NTRUEncrypt 및 ChaCha20-Poly1305 알고리즘을 기반으로 한다는 사실을 발견했습니다.
PolyVice는 64비트 바이너리로 설명되며, NTRUEncrypt 알고리즘을 사용하는 비대칭 암호화와 ChaCha20-Poly1305 알고리즘을 사용하는 대칭 암호화를 결합하는 하이브리드 암호화 체계를 사용합니다.
피해자의 컴퓨터에서 암호화 프로세스를 병렬화하는 멀티 스레딩 전략을 사용합니다. 이 병렬 처리의 Evey 워커 유닛은 파일 크기를 평가하여 암호화 속도를 향상시킵니다. 5MB보다 작은 파일은 완전히 암호화되고 큰 파일은 부분적으로 암호화됩니다. 여기에 비대칭 암호화와 대칭 암호화를 결합하여 파일을 안전하게 암호화하는 하이브리드 암호화 체계가 추가됩니다. 5MB에서 100MB 사이의 파일은 2.5MB 청크 2개로 암호화되고, 그보다 큰 파일은 파일 전체에 걸쳐 2.5MB 청크 10개로 분산되어 암호화됩니다.
그런 다음 모든 암호화된 파일에 .ViceSociety 파일 확장자를 추가하고 암호화된 각 디렉터리에 파일 이름 AllYFilesAE로 랜섬 노트를 배치합니다. 또한 각 변종은 파일 바닥글에 암호 해독에 필요한 정보를 추가합니다.
폴리바이스 랜섬웨어는 최근 바이스 소사이어티 조직 공격에 확장된 형태로 사용되었으며, 약간의 차이만 있을 뿐 기능이 비슷해 칠리 및 써니데이 랜섬웨어와 동일한 벤더의 것으로 추정됩니다.
이는 알려지지 않은 위협 행위자가 빌더 형태로 제공하는 '서비스형 락커'를 암시하며, 구매자가 암호화된 파일 확장자, 랜섬노트 파일 이름, 랜섬노트 내용, 배경화면 텍스트 등 페이로드를 사용자 지정할 수 있습니다.
센티넬원에 따르면 바이스 소사이어티의 활동은 2021년 6월부터 관찰되었으며, '헬로키티', '파이브 핸즈', '제플린'과 같은 타사 랜섬웨어 변종이 항상 사용되고 있다고 합니다. 또한, 바이스 소사이어티 그룹은 전체 파일이 아닌 작은 파일 청크를 암호화하는 간헐적 암호화 또는 부분 암호화를 사용했습니다. 이렇게 하면 전체 파일을 암호화하는 데 필요한 시간보다 훨씬 짧은 시간 내에 데이터를 사용할 수 없게 됩니다.
이 글의 출처는 TheHackerNews의 기사입니다.
