بازیگران باجافزار Vice Society در حملات اخیر خود به بخشهای مختلف باجافزار سفارشی دیگر را تغییر دادهاند.
آنتونیو کوکومازی، محقق SentinelOne در تحلیلی گفت: «این نوع باجافزار که «PolyVice» نام دارد، یک طرح رمزگذاری قوی را با استفاده از الگوریتمهای NTRUEncrypt و ChaCha20-Poly1305 پیادهسازی میکند.
Society که توسط مایکروسافت تحت نام DEV-0832 ردیابی می شود، یک گروه هک نفوذ و گروه هک اخاذی است که برای اولین بار در می ۲۰۲۱ در چشم انداز تهدید ظاهر شد.
برخلاف سایر گروههای باجافزار، بازیگر جرایم سایبری از بدافزار رمزگذاریکننده فایل که در داخل ساخته شده است استفاده نمیکند. در عوض، شناخته شده است که از قفل های شخص ثالث مانند Hello Kitty، Zeppelin و باج افزار RedAlert در حملات خود استفاده می کند.
به گفته SentinelOne نشانهها حاکی از آن است که عامل تهدید پشت باجافزار با برند سفارشی، بر اساس شباهتهای گسترده PolyVice به باجافزارهای Chily و SunnyDay، محمولههای مشابهی را به سایر گروههای هکر میفروشد.
این به معنای یک “Locker-as-a-a-Service” است که توسط یک عامل تهدید ناشناخته به شکل سازنده ای ارائه می شود که به خریداران خود اجازه می دهد تا محموله های خود را، از جمله پسوند فایل رمزگذاری شده، نام فایل یادداشت باج، محتوای یادداشت باج و متن کاغذ دیواری در میان دیگران را سفارشی کنند.
تغییر از Zeppelin احتمالاً به دلیل کشف نقاط ضعف در الگوریتم رمزگذاری آن بوده است که محققان شرکت امنیت سایبری Unit221B را قادر میسازد تا در فوریه ۲۰۲۰ یک رمزگشا ابداع کنند.
علاوه بر پیاده سازی یک طرح رمزگذاری ترکیبی که رمزگذاری نامتقارن و متقارن را برای رمزگذاری ایمن فایل ها ترکیب می کند، PolyVice همچنین از رمزگذاری جزئی و چند رشته ای برای سرعت بخشیدن به فرآیند استفاده می کند.
شایان ذکر است که Cybereason هفته گذشته فاش کرد، باجافزار Royal که اخیراً کشف شده است، از تاکتیکهای مشابهی برای فرار از دفاع ضد بدافزار استفاده میکند.
رویال ریشه در عملیات باجافزار Conti دارد که اکنون از بین رفته است، همچنین مشاهده شده است که از فیشینگ برگشتی (یا تحویل حمله تلفنی) برای فریب قربانیان برای نصب نرمافزار دسکتاپ از راه دور برای دسترسی اولیه استفاده میکند.
کد منبع فاش شده Conti به انواع باجافزارهای در حال ظهور کمک میکند
در همین حال، افشای کد منبع Conti در اوایل سال جاری باعث ایجاد تعدادی باجافزار جدید مانند تیم پوتین، ScareCrow، BlueSky و Meow شده است. Cyble فاش کرد و نشان داد که چگونه چنین نشتهایی راهاندازی شاخههای مختلف را با حداقل سرمایهگذاری برای عوامل تهدید آسانتر میکند.
کوکومازی گفت: “اکوسیستم باج افزار به طور مداوم در حال تکامل است، با روند فوق تخصصی و برون سپاری به طور مداوم در حال رشد است.” و همچنین افزود “یک تهدید قابل توجه برای سازمان ها به شمار می رود، زیرا امکان گسترش حملات باج افزار پیچیده را فراهم می کند.”