23 décembre 2022Ravie LakshmananRançongiciels / Sécurité des terminaux

Rançongiciel Vice Society

Les acteurs du ransomware Vice Society sont passés à une autre charge utile de ransomware personnalisée dans leurs récentes attaques visant une variété de secteurs.

« Cette variante de ransomware, surnommée ‘PolyVice,’ implémente un schéma de chiffrement robuste, en utilisant Chiffrement NTRU et ChaCha20-Poly1305 algorithmes », Antonio Cocomazzi, chercheur chez SentinelOne m’a dit dans une analyse.

Vice Society, qui est suivi par Microsoft sous le nom de DEV-0832, est un groupe de piratage d’intrusion, d’exfiltration et d’extorsion qui est apparu pour la première fois dans le paysage des menaces en mai 2021.

Contrairement à d’autres gangs de rançongiciels, l’acteur du cybercrime n’utilise pas de logiciels malveillants de cryptage de fichiers développés en interne. Au lieu de cela, il est connu de déployer des casiers tiers tels que Hello Kitty, Zeppelin et RedAlert ransomware dans leurs attaques.

Publicité

Selon SentinelOne, il semble que l’acteur de la menace derrière le ransomware de marque personnalisée vende également des charges utiles similaires à d’autres équipes de piratage sur la base des nombreuses similitudes de PolyVice avec les souches de ransomware Chily et SunnyDay.

La Cyber-Sécurité

Cela implique un « Locker-as-a-Service » proposé par un acteur de menace inconnu sous la forme d’un constructeur qui permet à ses acheteurs de personnaliser leurs charges utiles, y compris l’extension de fichier cryptée, le nom du fichier de note de rançon, le contenu de la note de rançon et le texte du fond d’écran, entre autres.

Le passage de Zeppelin a probablement été stimulé par le découverte des faiblesses dans son algorithme de chiffrement qui a permis aux chercheurs de la société de cybersécurité Unit221b de concevoir un décrypteur en février 2020.

Outre la mise en œuvre d’un schéma de cryptage hybride qui combine le cryptage asymétrique et symétrique pour crypter les fichiers en toute sécurité, PolyVice utilise également le cryptage partiel et le multi-threading pour accélérer le processus.

Il convient de souligner que le ransomware Royal récemment découvert utilise des tactiques similaires dans le but d’échapper aux défenses anti-malware, a révélé Cybereason la semaine dernière.

Logiciel De Rançon Royal

Royalqui a ses racines dans l’opération de rançongiciel Conti, aujourd’hui disparue, a également été observé pour utiliser le phishing de rappel (ou la livraison d’attaques par téléphone) pour inciter les victimes à installer un logiciel de bureau à distance pour un accès initial.

Code Source Du Rançongiciel Conti

Entre-temps, la fuite du code source de Conti au début de cette année a engendré un certain nombre de nouvelles souches de ransomwares telles que Putin Team, ScareCrow, BlueSky et Meow, Cyble. divulguésoulignant comment ces fuites permettent aux acteurs de la menace de lancer plus facilement différentes ramifications avec un investissement minimal.

« L’écosystème des ransomwares est en constante évolution, avec une tendance à l’hyperspécialisation et à l’externalisation en constante augmentation », a déclaré Cocomazzi, ajoutant qu’il « présente une menace importante pour les organisations car il permet la prolifération d’attaques sophistiquées de ransomwares ».

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentLes 10 films d’animation les plus rentables de tous les temps
Article suivantLe cartel mondial de la drogue utilise l’échange crypto pour blanchir près de 40 000 000 $
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici