Vice Society 勒索软件攻击者在最近针对多个行业的攻击中转用了另一种自定义勒索软件负载。
SentinelOne 研究员 Antonio Cocomazzi在一份分析报告中表示: “这种勒索软件变体被称为‘ PolyVice ’,它使用NTRUEncrypt和ChaCha20-Poly1305算法实施了一种强大的加密方案。”
Vice Society是一个入侵、渗漏和敲诈勒索黑客组织,被 Microsoft 跟踪为绰号 DEV-0832,于 2021 年 5 月首次出现在威胁格局中。
与其他勒索软件团伙不同,网络犯罪分子不使用内部开发的文件加密恶意软件。相反,众所周知,它会在攻击中部署第三方储物柜,例如 Hello Kitty、Zeppelin 和 RedAlert 勒索软件。
根据 SentinelOne,有迹象表明,基于 PolyVice 与勒索软件 Chily 和 SunnyDay 的广泛相似性,定制品牌勒索软件背后的威胁行为者也在向其他黑客团队出售类似的有效载荷。
这意味着未知威胁行为者以构建器的形式提供“锁柜即服务”,允许购买者自定义其有效负载,包括加密文件扩展名、赎金票据文件名、赎金票据内容,以及墙纸文字等。
Zeppelin 的转变很可能是由于发现其加密算法存在弱点,网络安全公司 Unit221B 的研究人员得以在 2020 年 2 月设计出解密器。
除了实施结合非对称和对称加密的混合加密方案来安全地加密文件外,PolyVice 还利用部分加密和多线程来加速该过程。
值得指出的是,Cyber??eason 上周透露,最近发现的 Royal 勒索软件采用了类似的策略来逃避反恶意软件防御。
Royal起源于现已解散的Conti 勒索软件操作,据观察还利用回调网络钓鱼(或面向电话的攻击传递)诱骗受害者安装远程桌面软件进行初始访问。
泄露的 Conti 源代码助长了新兴的勒索软件变种
与此同时,Cyble透露,今年早些时候泄露的 Conti 源代码催生了许多新的勒索软件,例如 Putin Team、ScareCrow、BlueSky和 ??Meow,突出表明此类泄露如何使威胁行为者更容易启动不同的勒索软件。投资最少的分支。
“勒索软件生态系统在不断发展,超专业化和外包的趋势不断增长,”Cocomazzi 说,并补充说它“对组织构成了重大威胁,因为它使复杂的勒索软件攻击得以扩散。”
