Vice Society fidye yazılımı operasyonu, NTRUEncrypt ve ChaCha20-Poly1305 tabanlı güçlü, hibrit bir şifreleme şeması uygulayan özel bir fidye yazılımı şifrelemesi kullanmaya başladı.
Yeni türü keşfeden ve ona “PolyVice” adını veren siber güvenlik firması SentinelOne’a göre, Vice Society onu diğer fidye yazılımı gruplarına benzer araçlar sağlayan bir satıcıdan almış olabilir.
Vice Society ilk olarak 2021 yazında kurumsal ağlardan ve şifreleme cihazlarından veri çalmaya başladıklarında ortaya çıktı. Tehdit aktörleri daha sonra çifte şantaj saldırıları gerçekleştirerek fidye ödenmezse verileri yayınlamakla tehdit eder.
Tarihsel olarak Vice Society, saldırılar sırasında Zeppelin, Five Hands ve HelloKitty dahil olmak üzere diğer fidye yazılımı operasyonlarının şifreleyicilerini kullanmıştır.
Bununla birlikte, Vice Society’nin artık ticari bir fidye yazılımı oluşturucu tarafından üretildiğine inanılan yeni bir şifreleyici kullanması ile bu durum değişmiş gibi görünüyor.
Yeni “PolyVice” şifreleyici
Ancak yeni PolyVice türü, Vice Society saldırılarına benzersiz bir imza vererek kilitli dosyalara “.ViceSociety” uzantısını ekliyor ve “AllYFilesAE” adlı fidye notlarını bırakıyor.
Yeni varyant ilk olarak 13 Temmuz 2022’de vahşi doğada görüldü, ancak çok sonrasına kadar grup tarafından tam olarak benimsenmedi.
SentinelOne’ın analizi, PolyVice’in Chilly fidye yazılımı ve SunnyDay fidye yazılımı ile kapsamlı kod benzerliklerine sahip olduğunu ve işlevlerde %100 eşleşme olduğunu ortaya koyuyor.
Farklılıklar, ortak satıcı hipotezini destekleyen dosya uzantısı, fidye notu adı, sabit kodlanmış ana anahtar, duvar kağıdı vb. gibi kampanyaya özgü ayrıntılarda yatmaktadır.
SentinelOne raporda, “Kod tasarımı, fidye yazılımı geliştiricisinin, alıcıların bir şablon yüküne ikili yama uygulayarak bağımsız olarak herhangi bir sayıda dolap/şifre çözücü oluşturmasını sağlayan bir oluşturucu sağladığını gösteriyor” diye açıklıyor.
“Bu, alıcıların herhangi bir kaynak kodunu ifşa etmeden fidye yazılımlarını özelleştirmelerine olanak tanıyor. Bilinen diğer RaaS oluşturucuların aksine, alıcılar kendi RaaS programlarını çalıştırmalarını sağlayan markalı yükler oluşturabilir.”
Hibrit şifreleme
PolyVice, NTRUEncrypt algoritması ile asimetrik şifrelemeyi ve ChaCha20-Poly1305 algoritması ile simetrik şifrelemeyi birleştiren hibrit bir şifreleme şeması kullanır.
Yük başlatıldığında, önceden oluşturulmuş bir 192-bit NTRU genel anahtarını içe aktarır ve ardından güvenliği ihlal edilmiş sistemde her kurban için benzersiz olan rastgele bir 112-bit NTRU özel anahtar çifti oluşturur.
Bu çift daha sonra her dosyaya özel olan ChaCha20-Poly1305 simetrik anahtarlarını şifrelemek için kullanılır. Son olarak, NTRU anahtar çifti, onu alma girişimlerinden korumak için sonunda genel NTRU anahtarı kullanılarak şifrelenir.
PolyVice fidye yazılımı, paralel simetrik veri şifreleme için çoklu iş parçacığı kullanan ve şifreleme sürecini hızlandırmak için kurbanın işlemcisini tam olarak kullanan 64 bitlik bir ikili dosyadır.
Ayrıca her PolyVice çalışanı, her durumda hangi hız iyileştirmelerinin uygulanabileceğini belirlemek için dosya içeriğini okur. Bu optimizasyonlar dosya boyutuna bağlıdır ve PolyVice seçici olarak aralıklı şifreleme uygular.
- 5 MB’den küçük dosyalar tamamen şifrelenir.
- 5 MB ile 100 MB arasındaki dosyalar kısmen şifrelenir, 2,5 MB’lık parçalara bölünür ve her saniye parça atlanır.
- 100 MB’den büyük dosyalar, eşit olarak dağıtılmış on parçaya bölünür ve her parçanın 2,5 MB’ı şifrelenir.
Şifrelemeden sonra, her PolyVice çalışanı dosya alt bilgisini şifre çözme için gerekli bilgilerle birlikte yazar.
Tüm bu özellikler, Vice Society, Chilly ve SunnyDay fidye yazılımı tarafından kullanılan yeni fidye yazılımı türlerini geliştiren kişinin deneyimli ve bilgili bir kötü amaçlı yazılım yaratıcısı olduğunu gösteriyor.
Sonuç olarak, SentinelOne’ın bulguları, fidye yazılımı çetelerinin uzmanlara gelişmiş, yüksek performanslı araçlar oluşturmaları için ödeme yapmasıyla, uzayda dış kaynak kullanma eğiliminin altını çiziyor.
Kullanılabilirlik düzeyine ve maliyete bağlı olarak bu araçlar, düşük vasıflı fidye yazılımı aktörlerinin feci saldırılar başlatmasını kolaylaştırabilir ve kuruluşlara önemli zararlar verebilir.