Les acteurs du ransomware Vice Society sont passés à une autre charge utile de ransomware personnalisée dans leurs récentes attaques visant une variété de secteurs.
« Cette variante de ransomware, surnommée ‘PolyVice,’ implémente un schéma de chiffrement robuste, en utilisant Chiffrement NTRU et ChaCha20-Poly1305 algorithmes », Antonio Cocomazzi, chercheur chez SentinelOne m’a dit dans une analyse.
Vice Society, qui est suivi par Microsoft sous le nom de DEV-0832, est un groupe de piratage d’intrusion, d’exfiltration et d’extorsion qui est apparu pour la première fois dans le paysage des menaces en mai 2021.
Contrairement à d’autres gangs de rançongiciels, l’acteur du cybercrime n’utilise pas de logiciels malveillants de cryptage de fichiers développés en interne. Au lieu de cela, il est connu de déployer des casiers tiers tels que Hello Kitty, Zeppelin et RedAlert ransomware dans leurs attaques.
Selon SentinelOne, il semble que l’acteur de la menace derrière le ransomware de marque personnalisée vende également des charges utiles similaires à d’autres équipes de piratage sur la base des nombreuses similitudes de PolyVice avec les souches de ransomware Chily et SunnyDay.
Cela implique un « Locker-as-a-Service » proposé par un acteur de menace inconnu sous la forme d’un constructeur qui permet à ses acheteurs de personnaliser leurs charges utiles, y compris l’extension de fichier cryptée, le nom du fichier de note de rançon, le contenu de la note de rançon et le texte du fond d’écran, entre autres.
Le passage de Zeppelin a probablement été stimulé par le découverte des faiblesses dans son algorithme de chiffrement qui a permis aux chercheurs de la société de cybersécurité Unit221b de concevoir un décrypteur en février 2020.
Outre la mise en œuvre d’un schéma de cryptage hybride qui combine le cryptage asymétrique et symétrique pour crypter les fichiers en toute sécurité, PolyVice utilise également le cryptage partiel et le multi-threading pour accélérer le processus.
Il convient de souligner que le ransomware Royal récemment découvert utilise des tactiques similaires dans le but d’échapper aux défenses anti-malware, a révélé Cybereason la semaine dernière.
Royalqui a ses racines dans l’opération de rançongiciel Conti, aujourd’hui disparue, a également été observé pour utiliser le phishing de rappel (ou la livraison d’attaques par téléphone) pour inciter les victimes à installer un logiciel de bureau à distance pour un accès initial.
La fuite du code source de Conti alimente les variantes émergentes de ransomwares
Entre-temps, la fuite du code source de Conti au début de cette année a engendré un certain nombre de nouvelles souches de ransomwares telles que Putin Team, ScareCrow, BlueSky et Meow, Cyble. divulguésoulignant comment ces fuites permettent aux acteurs de la menace de lancer plus facilement différentes ramifications avec un investissement minimal.
« L’écosystème des ransomwares est en constante évolution, avec une tendance à l’hyperspécialisation et à l’externalisation en constante augmentation », a déclaré Cocomazzi, ajoutant qu’il « présente une menace importante pour les organisations car il permet la prolifération d’attaques sophistiquées de ransomwares ».