اضافه شدن باجافزار PolyVice به لیست تهدیدات سایبری گروه Vice Society
اخبار داغ فناوری اطلاعات و امنیت شبکه
باند باجافزار Vice Society که دهها موسسه مختلف را فقط در سالجاری هدف قرار داده، اکنون در حملات سایبری اخیر خود از یک باجافزار سفارشی جدید استفاده میکند. نوع باج افزار با نام PolyVice برای اولینبار در ماه جولای در فضای سایبری مشاهده شد، اما این گروه در اواخر سپتامبر شروع به استفاده از این نوع باجافزار کرد.
رمزگذار جدید: PolyVice
طبق گزارش محققان SentinelOne، باجافزار PolyVice یک باینری ٦٤ بیتی است که از یک طرح رمزگذاری ترکیبی استفاده میکند.
این طرح ترکیبی از رمزگذاری نامتقارن با الگوریتم NTRUEncrypt و رمزگذاری متقارن با الگوریتم ChaCha20-Poly1305 است.
گروه Vice Society از روش رمزگذاری متناوب یا رمزگذاری جزئی استفاده کرده است که در آن تکههای کوچکی از فایلها بهجای رمزگذاری کل فایل رمزگذاری میشوند.
این کار باعث میشود که دادهها در کسری از زمان مورد نیاز، در مقایسه با رمزگذاری کل فایل غیرقابل استفاده باشند.
روش عملکرد
بدافزار PolyVice از یک رویکرد چند رشتهای استفاده میکند که فرآیند رمزگذاری را از طریق پردازش موازی روی پردازنده قربانی اجرا میکند.
هر نود ورکر این پردازش موازی، اندازه فایل مورد نظر را بیشتر تجزیهوتحلیل میکند تا سرعت رمزگذاری سریعتر را بهینه کند.
فایلهای کوچکتر از ۵ مگابایت کاملا رمزگذاری شده و فایلهای بزرگتر تا حدودی رمزگذاری شدهاند. برای فایلهای بین ۵ مگابایت تا ١٠٠ مگابایت، دو تکه ٢. ۵ مگابایتی رمزگذاری میشوند، درحالیکه برای فایلهای بزرگتر، ١٠ تکه ٢. ۵ مگابایتی هرکدام در کل فایل رمزگذاری میشوند.
پسوند فایل ViceSociety به همه فایلهای رمزگذاری شده اضافه میشود و یادداشتهای باج با نام فایل AllYFilesAE در هر دایرکتوری رمزگذاری شده قرار میگیرد. علاوه بر این، هر ورکر PolyVice اطلاعات لازم برای رمزگشایی را در فوتر فایل اضافه میکند.
شباهتها و تفاوتهای کد
باجافزار PolyVice شباهتهای زیادی با کدهای باج افزار Chily و باج افزار SunnyDay دارد.
همه این payloadها دارای فانکشن ١٠٠٪ منطبق و پایگاه کد قابل اجرایی یکسان هستند، بااینحال، PolyVice دارای برخی عملکردهای جدید اضافی است.
تفاوتها را میتوان در جزئیات مربوط به کمپین مانند پسوند فایل، کلید اصلی رمزگذاری شده، کاغذ دیواری، نام یادداشت باج و محتوا مشاهده کرد.
علاوه بر این، محققان برخی از پیامهای دیباگینگ را در کدبیس PolyVice مشاهده کردند که نشان میدهد پیادهسازی باجافزار خود گروه Vice Society در مراحل اولیه توسعه خود قرارگرفته است.
یک کدبیس مشترک به اشتراک گذاشته شده در میان بدافزارهای متعدد (PolyVice، Chily و SunnyDay) چندین زاویه از امکانات متعدد را به روی محققان باز میکند.
شفافسازی احتمالات
گروه Vice Society ممکن است PolyVice را از یک فروشنده یا سازنده باجافزار فروشی که ابزارهای مشابهی را برای سایر گروههای باجافزار عرضه میکند، تهیه کرده باشد.
ممکن است برخی از توسعهدهندگان باجافزار از Locker-as-a-Service استفاده کنند که بیلدری را ارائه میدهد که به خریداران (Vice Society یکی از آنهاست) اجازه میدهد تا به طور مستقل هر تعداد قفل/رمزگشای سفارشیسازی شده را تولید کنند و برنامههای RaaS خود را اجرا کنند.
درنهایت، اینطور میتوان گفت که باج افزار Vice Society، SunnyDay و Chily میتوانند محصولات جانبی یک گروه باشند.
نتیجهگیری
استفاده از PolyVice نشان میدهد که این گروه با استفاده از تخصص خود، مانند استفاده از الگوریتمهای رمزگذاری قویتر و روشهای رمزگذاری متناوب بهتر، کمپینهای باجافزار خود را تقویت میکند. Vice Society سابقه استقرار باجافزار شخص ثالث در نفوذهای خود ازجمله HelloKitty، Five Hands و Zeppelin را دارد. این باجافزار یک طرح رمزگذاری ضعیف را پیادهسازی کرد که امکان رمزگشایی فایلهای قفلشده را فراهم میکرد و به طور بالقوه گروه را تشویق میکرد تا یک لاکر جدید و یک طرح رمزگذاری قوی را اتخاذ کند.
برچسب ها: Vice Society Gang, Locker, Zeppelin, Five Hands, Locker-as-a-Service, SunnyDay, Chily, AllYFilesAE, ChaCha20-Poly1305, Vice Society, PolyVice, NTRUencrypt, حملات باجافزاری, باجافزار, RaaS, HelloKitty, Encryption, malware, دفاع سایبری, تهدیدات سایبری, Cyber Security, رمزگذاری, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news