SentinelOne güvenlik firmasındaki siber güvenlik analistleri, kısa süre önce Vice Society fidye yazılımı çetesinin “PolyVice” olarak adlandırılan özel fidye yazılımına geçtiğini tespit etti.
Sağlam bir şifreleme sistemi uygulamak için bu özel fidye yazılımı tarafından kullanılan iki algoritma vardır: –
Vice Society Fidye Yazılımı
Araştırmacılar, Vice Society fidye yazılımının HelloKitty fidye yazılımının bölünmüş versiyonu olabileceğini ve Haziran 2021’den beri tehdit alanında aktif olduğunu düşünüyor. Windows ve Linux sistemleri, bu kötü amaçlı yazılım tarafından en çok hedef alınan sistemlerdir ve kurbanların çoğu küçük ve orta ölçekli şirketlere aittir.
Vice Society çetesi, Microsoft tarafından DEV-0832 izleyici kimliğiyle izlendi ve başlangıçta ilk kez Mayıs 2021’de tehdit ortamında göründü. Ayrıca, bu bilgisayar korsanlığı grubu çok popüler ve aşağıdaki yasa dışı becerilerle ünlü: –
- izinsiz giriş
- sızma
- Gasp
- çifte gasp
Birden fazla saldırı sırasında, Vice Society fidye yazılımı çetesi tarafından diğer bazı fidye yazılımı operasyonlarının şifreleyicileri de kullanıldı ve bunlar: –
- zeplin
- Beş El
- Merhaba kedicik
Vice Society’nin şifreleyiciyi kullanma biçiminde bir değişiklik olmuş gibi görünüyor; en son sürümün, Vice Society’nin kendisi tarafından oluşturulan bir sürüm yerine ticari bir fidye yazılımı oluşturucu tarafından oluşturulduğuna inanılıyor.
PolyVice Şifreleyici
Vice Society saldırıları, yeni geliştirilen PolyVice türü tarafından oluşturulan benzersiz imza ile tanımlanır. ‘AllYFilesAE’ adlı fidye notlarını bırakmak ve tüm kilitli dosyalara “.ViceSociety” uzantısını eklemek.
Özel markalı yükler yapmak için temel olarak Vice Society Windows yükünü birleştirmek için kullanılan kod tabanını kullanan aşağıdakiler dahil bir dizi başka grup vardır:-
Kısacası, PolyVice ve Chilly fidye yazılımının kodu ile SunnyDay fidye yazılımı arasında önemli benzerlikler vardır ve bunlar işlev ve sözdizimi açısından benzerdir.
13 Temmuz 2022 gibi erken bir tarihte, yeni varyant ilk olarak vahşi doğada görüldü, ancak grup onu tam olarak benimseyebilmesi çok uzun zaman aldı.
Farklılıkları yaratan her kampanyaya özel ayrıntılardır, örneğin:-
- Dosya uzantısı
- Fidye notu adı
- Sabit kodlanmış ana anahtar
- duvar kağıdı
Şifreleme Mekanizması Uygulaması
Dosyaları güvenli bir şekilde şifrelemek amacıyla PolyVice, hem asimetrik şifrelemeyi hem de simetrik şifrelemeyi birleştiren hibrit bir şifreleme mekanizması uygular.
Asimetrik şifreleme için kuantum dirençli NTRUEncrypt algoritmasının açık kaynak uygulamaları kullanılır. ChaCha20-Poly1305 algoritması simetrik şifreleme için kullanılır ve bu algoritma için kullanılan açık kaynaklı bir uygulamadır.
Yük başlatıldığında, yük tarafından önceden oluşturulmuş 192 bitlik bir NTRU genel anahtarını içe aktarır. Daha sonra güvenliği ihlal edilmiş bilgisayarda, daha sonra güvenliği ihlal edilmiş bilgisayara erişmek için kullanılan, her kurban için benzersiz olan benzersiz bir 112-bit NTRU özel anahtar çifti oluşturur.
PolyVice fidye yazılımı, paralel simetrik bir veri şifreleme mekanizması için çoklu iş parçacığı kullanır ve bu, 64 bitlik bir ikili dosyadır. PolyVice çalışanları tarafından dosya içeriğini okuyarak her dosyaya uygulanabilecek çeşitli hız iyileştirme stratejileri vardır.
Sonuç olarak PolyVice, dosyanın boyutuna göre seçici olarak aralıklı şifreleme uygular. Aşağıda, kontrol edilen tüm kriterlerden bahsetmiştik: –
- 5 MB’tan küçük tüm dosyalar için şifreleme sağlanır.
- 5MB ile 100MB arasındaki dosyaların içeriği kısmen şifrelenir, her ikinci parça atlanır ve dosya 2,5MB’lık parçalara bölünür.
- 100 MB’den büyük büyük dosyalar, her parça için 2,5 MB şifrelenmiş on parçaya bölünür.
Şifreleme şeması güçlü olduğundan ve performans optimizasyonu geliştirme sürecinin önemli bir parçası olduğundan, fidye yazılımının deneyimli geliştiricilerden oluşan bir ekip veya fidye yazılımı geliştirme deneyimi olan bir kişi tarafından geliştirildiği anlaşılıyor.
PolyVice Ransomware’in benimsenmesinin bir sonucu olarak, fidye yazılımı kampanyaları artık daha da etkili. Sağlam bir şifreleme düzeni kullanarak kurbanların verilerini hızlı ve etkili bir şekilde şifrelerler.
Fidye yazılımının aşırı uzmanlaşması ve dış kaynak kullanımına yönelik sürekli büyüyen bir eğilim, sürekli gelişen fidye yazılımı ekosisteminin ön saflarında yer almaya devam ediyor.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin