Se ha observado que los actores de amenazas asociados con la pandilla de ransomware Vice Society utilizan una herramienta basada en PowerShell a medida para pasar desapercibidos y automatizar el proceso de filtración de datos de redes comprometidas.
«Actores de amenazas (TA) que utilizan exfiltración de datos métodos como [living off the land binaries and scripts] niegan la necesidad de incorporar herramientas externas que podrían ser detectadas por software de seguridad y/o mecanismos de detección de seguridad basados en humanos», Ryan Chapman, investigador de la Unidad 42 de Palo Alto Networks dicho.
«Estos métodos también pueden ocultarse dentro del entorno operativo general, proporcionando subversión al actor de amenazas».
Vice Society, rastreada por Microsoft con el nombre DEV-0832, es un grupo de piratería centrado en la extorsión que apareció en escena en mayo de 2021. Se sabe que depende de los binarios de ransomware vendidos en la clandestinidad criminal para alcanzar sus objetivos.
En diciembre de 2022, SentinelOne detalló el uso por parte del grupo de una variante de ransomware, denominada PolyVice, que implementa un esquema de cifrado híbrido que combina cifrado asimétrico y simétrico para cifrar archivos de forma segura.
El script de PowerShell descubierto por Unit 42 (w1.ps1) funciona al identificar las unidades montadas en el sistema y luego busca recursivamente en cada uno de los directorios raíz para facilitar la filtración de datos a través de HTTP.
La herramienta también utiliza criterios de exclusión para filtrar archivos del sistema, copias de seguridad y carpetas que apuntan a navegadores web, así como soluciones de seguridad de Symantec, ESET y Sophos. La firma de ciberseguridad dijo que el diseño general de la herramienta demuestra un «nivel profesional de codificación».
Domina el arte de la recolección de inteligencia de la Dark Web
Aprenda el arte de extraer inteligencia de amenazas de la web oscura. ¡Únase a este seminario web dirigido por expertos!
El descubrimiento del script de exfiltración de datos ilustra la amenaza constante de doble extorsión en el panorama del ransomware. También sirve como un recordatorio para que las organizaciones den prioridad a las protecciones de seguridad sólidas y se mantengan alerta frente a las amenazas en evolución.
«El script de exfiltración de datos de PowerShell de Vice Society es una herramienta simple para la exfiltración de datos», dijo Chapman. «El procesamiento múltiple y la cola se utilizan para garantizar que el script no consuma demasiados recursos del sistema».
«Sin embargo, el enfoque de la secuencia de comandos en archivos de más de 10 KB con extensiones de archivo y en directorios que cumplen con su lista de inclusión significa que la secuencia de comandos no extraerá datos que no se ajusten a esta descripción».