استفاده مهاجمان باج افزار Vice Society از روش های رمزگذاری قوی

بازیگران باج‌افزار Vice Society در حملات اخیر خود به بخش‌های مختلف باج‌افزار سفارشی دیگر را تغییر داده‌اند.

آنتونیو کوکومازی، محقق SentinelOne در تحلیلی گفت: «این نوع باج‌افزار که «PolyVice» نام دارد، یک طرح رمزگذاری قوی را با استفاده از الگوریتم‌های NTRUEncrypt و ChaCha20-Poly1305 پیاده‌سازی می‌کند.

Society که توسط مایکروسافت تحت نام DEV-0832 ردیابی می شود، یک گروه هک نفوذ و گروه هک اخاذی است که برای اولین بار در می ۲۰۲۱ در چشم انداز تهدید ظاهر شد.

برخلاف سایر گروه‌های باج‌افزار، بازیگر جرایم سایبری از بدافزار رمزگذاری‌کننده فایل که در داخل ساخته شده است استفاده نمی‌کند. در عوض، شناخته شده است که از قفل های شخص ثالث مانند Hello Kitty، Zeppelin و باج افزار RedAlert در حملات خود استفاده می کند.

به گفته SentinelOne نشانه‌ها حاکی از آن است که عامل تهدید پشت باج‌افزار با برند سفارشی، بر اساس شباهت‌های گسترده PolyVice به باج‌افزارهای Chily و SunnyDay، محموله‌های مشابهی را به سایر گروه‌های هکر می‌فروشد.

این به معنای یک “Locker-as-a-a-Service” است که توسط یک عامل تهدید ناشناخته به شکل سازنده ای ارائه می شود که به خریداران خود اجازه می دهد تا محموله های خود را، از جمله پسوند فایل رمزگذاری شده، نام فایل یادداشت باج، محتوای یادداشت باج و متن کاغذ دیواری در میان دیگران را سفارشی کنند.

تغییر از Zeppelin احتمالاً به دلیل کشف نقاط ضعف در الگوریتم رمزگذاری آن بوده است که محققان شرکت امنیت سایبری Unit221B را قادر می‌سازد تا در فوریه ۲۰۲۰ یک رمزگشا ابداع کنند.

علاوه بر پیاده سازی یک طرح رمزگذاری ترکیبی که رمزگذاری نامتقارن و متقارن را برای رمزگذاری ایمن فایل ها ترکیب می کند، PolyVice همچنین از رمزگذاری جزئی و چند رشته ای برای سرعت بخشیدن به فرآیند استفاده می کند.

شایان ذکر است که Cybereason هفته گذشته فاش کرد، باج‌افزار Royal که اخیراً کشف شده است، از تاکتیک‌های مشابهی برای فرار از دفاع ضد بدافزار استفاده می‌کند.

 

 

رویال ریشه در عملیات باج‌افزار Conti دارد که اکنون از بین رفته است، همچنین مشاهده شده است که از فیشینگ برگشتی (یا تحویل حمله تلفنی) برای فریب قربانیان برای نصب نرم‌افزار دسک‌تاپ از راه دور برای دسترسی اولیه استفاده می‌کند.

 

کد منبع فاش شده Conti به انواع باج‌افزارهای در حال ظهور کمک می‌کند

 

در همین حال، افشای کد منبع Conti در اوایل سال جاری باعث ایجاد تعدادی باج‌افزار جدید مانند تیم پوتین، ScareCrow، BlueSky و Meow شده است. Cyble فاش کرد و نشان داد که چگونه چنین نشت‌هایی راه‌اندازی شاخه‌های مختلف را با حداقل سرمایه‌گذاری برای عوامل تهدید آسان‌تر می‌کند.

کوکومازی گفت: “اکوسیستم باج افزار به طور مداوم در حال تکامل است، با روند فوق تخصصی و برون سپاری به طور مداوم در حال رشد است.” و همچنین افزود “یک تهدید قابل توجه برای سازمان ها به شمار می رود، زیرا امکان گسترش حملات باج افزار پیچیده را فراهم می کند.”

پست‌های مشابه

Leave a Comment