Die Ransomware-Akteure der Vice Society haben bei ihren jüngsten Angriffen auf eine Vielzahl von Branchen eine weitere maßgeschneiderte Ransomware-Nutzlast eingesetzt.
Diese Ransomware-Variante mit dem Namen„PolyVice“ implementiert ein robustes Verschlüsselungsschema, das die Algorithmen NTRUEncrypt und ChaCha20-Poly1305 verwendet“, so SentinelOne-Forscher Antonio Cocomazzi in einer Analyse.
Vice Society, die von Microsoft unter dem Namen DEV-0832 verfolgt wird, ist eine Hackergruppe, die im Mai 2021 erstmals in der Bedrohungslandschaft auftauchte.
Im Gegensatz zu anderen Ransomware-Banden verwendet die Cyberkriminelle keine selbst entwickelte Malware zur Verschlüsselung von Dateien. Stattdessen ist bekannt, dass sie bei ihren Angriffen Locker von Drittanbietern wie Hello Kitty, Zeppelin und RedAlert Ransomware einsetzen.
Laut SentinelOne gibt es Anzeichen dafür, dass der Bedrohungsakteur, der hinter der selbst entwickelten Ransomware steckt, auch ähnliche Nutzdaten an andere Hacker verkauft, da PolyVice große Ähnlichkeiten mit den Ransomware-Stämmen Chily und SunnyDay aufweist.
Dies deutet auf einen „Locker-as-a-Service“ hin, der von einem unbekannten Bedrohungsakteur in Form eines Builders angeboten wird, der es seinen Käufern ermöglicht, ihre Payloads anzupassen, einschließlich der verschlüsselten Dateierweiterung, des Dateinamens der Lösegeldforderung, des Inhalts der Lösegeldforderung und des Hintergrundtextes, um nur einige zu nennen.
Die Abkehr von Zeppelin wurde wahrscheinlich durch die Entdeckung von Schwachstellen in seinem Verschlüsselungsalgorithmus vorangetrieben, die es Forschern des Cybersecurity-Unternehmens Unit221b ermöglichten, im Februar 2020 einen Entschlüsseler zu entwickeln.
PolyVice verwendet nicht nur ein hybrides Verschlüsselungsverfahren, das asymmetrische und symmetrische Verschlüsselung kombiniert, um Dateien sicher zu verschlüsseln, sondern nutzt auch partielle Verschlüsselung und Multithreading, um den Prozess zu beschleunigen.
Es ist erwähnenswert, dass die kürzlich entdeckte Ransomware Royal eine ähnliche Taktik anwendet, um die Malware-Abwehr zu umgehen, wie Cybereason letzte Woche bekannt gab.
Royal, die ihre Wurzeln in der inzwischen nicht mehr existierenden Ransomware Conti hat, wurde auch dabei beobachtet, wie sie Call-Back-Phishing (oder telefonische Angriffe) einsetzt, um ihre Opfer dazu zu bringen, eine Remote-Desktop-Software zu installieren, um sich Zugang zu verschaffen.
In der Zwischenzeit hat das Bekanntwerden des Conti-Quellcodes Anfang des Jahres eine Reihe neuer Ransomware-Stämme wie Putin Team, ScareCrow, BlueSky und Meow hervorgebracht, wie Cyble berichtet.
„Das Ransomware-Ökosystem entwickelt sich ständig weiter, wobei der Trend zur Hyperspezialisierung und zum Outsourcing kontinuierlich zunimmt“, so Cocomazzi. „Dieser Trend zur Spezialisierung und zum Outsourcing stellt eine erhebliche Bedrohung für Unternehmen dar, da er die Verbreitung von ausgeklügelten Ransomware-Angriffen ermöglicht.