×

Группировка Vice Society вооружилась кастомным шифровальщиком

Группировка Vice Society вооружилась кастомным шифровальщиком

В новом вредоносе реализована надежная схема шифрования с использованием алгоритмов NTRUEncrypt и ChaCha20-Poly1305.

Исследователи SentinelOne обнаружили, что группировка Vice Society обзавелась кастомным вымогательским ПО, в котором реализована надежная схема шифрования с использованием алгоритмов NTRUEncrypt и ChaCha20-Poly1305. Эта версия шифровальщика получила название PolyVice. Она использовалась в одной из последних атак банды и добавляла расширение .ViceSociety ко всем зашифрованным файлам. Записки о выкупе под названием AllYFilesAE создавались в каждом зашифрованном каталоге.

Исследователи предполагают, что программа-вымогатель находится на ранних стадиях разработки, так как в ее коде были обнаружены отладочные сообщения. Кроме того, PolyVice оказалась крайне похожа на RedAlert, из-за чего специалисты выдвинули предположение, что эти программы разработаны одной и той же группировкой.

Дальнейшее расследование также показало, что кодовая база полезной нагрузки Vice Society для Windows использовалась для создания полезных нагрузок группировками Chily и SunnyDay.

Схема шифрования, используемая PolyVice, сочетает асимметричное и симметричное шифрование для надежного шифрования файлов. Вредонос использует квантово-устойчивый алгоритм NTRUEncrypt для асимметричного шифрования и алгоритма ChaCha20-Poly1305 для симметричного шифрования.

Вредонос использует функцию CreateThread для создания нескольких рабочих процессов и полагается на вызов WaitForMultipleObject для синхронизации с основным потоком. Основной поток и рабочие потоки используют порт завершения ввода-вывода для обмена данными.

PolyVice выборочно применяет прерывистое шифрование :

  • Файлы размером менее 5 МБ шифруются полностью;

  • Файлы размером от 5 МБ до 100 МБ шифруются частично:

    • 5 МБ контента шифруется путем разделения на 2 части по 2,5 МБ. Первый фрагмент сверху и второй фрагмент снизу файла.

  • Файлы размером более 100 МБ шифруются частично:

    • 25 МБ контента делятся на 10 фрагментов по 2,5 МБ и распределяются через каждые 10% размера файла.

В заключении отчета говорится, что появление PolyVice сделало группировку еще сильнее за счет надежной схемы шифрования.

Учёные создали новую форму воды, которая может решить загадку вампира Эйнштейна

Эта вода может абсорбировать тепло из воздуха и замерзать быстрее, чем ожидалось по теории теплопередачи, решая одну из самых странных загадок науки — вампира Эйнштейна.

Хакеры жили среди католиков 17 дней, нанеся им ущерб в $160 млн.

Судебные иски и $160 млн. - такой ценой обошлась вымогательская атака на систему здравоохранения.

В Новой Зеландии произошел массовый сбой в работе доменов

Сбой в DNSSEC нарушил работу доменов в зоне NZ.