IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

اضافه شدن باج‌افزار PolyVice به لیست تهدیدات سایبری گروه Vice Society

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir vice society adds custom branded payload polyvice to its arsenal
باند باج‌افزار Vice Society که ده‌ها موسسه مختلف را فقط در سال‌جاری هدف قرار داده، اکنون در حملات سایبری اخیر خود از یک باج‌افزار سفارشی جدید استفاده می‌کند. نوع باج افزار با نام PolyVice برای اولین‌بار در ماه جولای در فضای سایبری مشاهده شد، اما این گروه در اواخر سپتامبر شروع به استفاده از این نوع باج‌افزار کرد.

رمزگذار جدید: PolyVice
طبق گزارش محققان SentinelOne، باج‌افزار PolyVice یک باینری ٦٤ بیتی است که از یک طرح رمزگذاری ترکیبی استفاده می‌کند.

این طرح ترکیبی از رمزگذاری نا‌متقارن با الگوریتم NTRUEncrypt و رمزگذاری متقارن با الگوریتم ChaCha20-Poly1305 است.

گروه Vice Society از روش رمزگذاری متناوب یا رمزگذاری جزئی استفاده کرده است که در آن تکه‌های کوچکی از فایل‌ها به‌جای رمزگذاری کل فایل رمزگذاری می‌شوند.

این کار باعث می‌شود که داده‌ها در کسری از زمان مورد نیاز، در مقایسه با رمزگذاری کل فایل غیرقابل استفاده باشند.

روش عملکرد
بدافزار PolyVice از یک رویکرد چند رشته‌ای استفاده می‌کند که فرآیند رمزگذاری را از طریق پردازش موازی روی پردازنده قربانی اجرا می‌کند.

هر نود ورکر این پردازش موازی، اندازه فایل مورد نظر را بیشتر تجزیه‌و‌تحلیل می‌کند تا سرعت رمزگذاری سریع‌تر را بهینه کند.

فایل‌های کوچک‌تر از ۵ مگابایت کاملا رمزگذاری شده و فایل‌های بزرگتر تا حدودی رمزگذاری شده‌اند. برای فایل‌های بین ۵ مگابایت تا ١٠٠ مگابایت، دو تکه ٢. ۵ مگابایتی رمزگذاری می‌شوند، در‌حالی‌که برای فایل‌های بزرگتر، ١٠ تکه ٢. ۵ مگابایتی هر‌کدام در کل فایل رمزگذاری می‌شوند.

پسوند فایل ViceSociety به همه فایل‌های رمزگذاری شده اضافه می‌شود و یادداشت‌های باج با نام فایل AllYFilesAE در هر دایرکتوری رمزگذاری شده قرار می‌گیرد. علاوه بر این، هر ورکر PolyVice اطلاعات لازم برای رمزگشایی را در فو‌تر فایل اضافه می‌کند.


شباهت‌ها و تفاوت‌های کد
باج‌افزار PolyVice شباهت‌های زیادی با کد‌های باج افزار Chily و باج افزار SunnyDay دارد.

همه این payload‌ها دارای فانکشن ١٠٠٪ منطبق و پایگاه کد قابل اجرایی یکسان هستند، با‌این‌حال، PolyVice دارای برخی عملکرد‌های جدید اضافی است.

تفاوت‌ها را می‌توان در جزئیات مربوط به کمپین مانند پسوند فایل، کلید اصلی رمزگذاری شده، کاغذ دیواری، نام یادداشت باج و محتوا مشاهده کرد.

علاوه بر این، محققان برخی از پیام‌های دیباگینگ را در کدبیس PolyVice مشاهده کردند که نشان می‌دهد پیاده‌سازی باج‌افزار خود گروه Vice Society در مراحل اولیه توسعه خود قرار‌گرفته است.

یک کدبیس مشترک به اشتراک گذاشته شده در میان بدافزار‌های متعدد (PolyVice، Chily و SunnyDay) چندین زاویه از امکانات متعدد را به روی محققان باز می‌کند.

شفاف‌سازی احتمالات
گروه Vice Society ممکن است PolyVice را از یک فروشنده یا سازنده باج‌افزار فروشی که ابزار‌های مشابهی را برای سایر گروه‌های باج‌افزار عرضه می‌کند، تهیه کرده باشد.

ممکن است برخی از توسعه‌دهندگان باج‌افزار از Locker-as-a-Service استفاده کنند که بی‌لدری را ارائه می‌دهد که به خریداران (Vice Society یکی از آنهاست) اجازه می‌دهد تا به طور مستقل هر تعداد قفل/رمزگشای سفارشی‌سازی شده را تولید کنند و برنامه‌های RaaS خود را اجرا کنند.

در‌نهایت، اینطور میتوان گفت که باج افزار Vice Society، SunnyDay و Chily می‌توانند محصولات جانبی یک گروه باشند.

نتیجه‌گیری
استفاده از PolyVice نشان می‌دهد که این گروه با استفاده از تخصص خود، مانند استفاده از الگوریتم‌های رمزگذاری قوی‌تر و روش‌های رمزگذاری متناوب بهتر، کمپین‌های باج‌افزار خود را تقویت می‌کند. Vice Society سابقه استقرار باج‌افزار شخص ثالث در نفوذ‌های خود از‌جمله HelloKitty، Five Hands و Zeppelin را دارد. این باج‌افزار یک طرح رمزگذاری ضعیف را پیاده‌سازی کرد که امکان رمزگشایی فایل‌های قفل‌شده را فراهم می‌کرد و به طور بالقوه گروه را تشویق می‌کرد تا یک لاکر جدید و یک طرح رمزگذاری قوی را اتخاذ کند.

برچسب ها: Vice Society Gang, Locker, Zeppelin, Five Hands, Locker-as-a-Service, SunnyDay, Chily, AllYFilesAE, ChaCha20-Poly1305, Vice Society, PolyVice, NTRUencrypt, حملات باج‌افزاری, باج‌افزار, RaaS, HelloKitty, Encryption, malware, دفاع سایبری, تهدیدات سایبری, Cyber Security, رمزگذاری, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

چاپ ایمیل