Des acteurs de la menace associés au gang de rançongiciels Vice Society ont été observés en utilisant un outil sur mesure basé sur PowerShell pour voler sous le radar et automatiser le processus d’exfiltration des données des réseaux compromis.
« Les acteurs de la menace (TA) utilisant des exfiltration de données méthodes comme [living off the land binaries and scripts] nier la nécessité d’apporter des outils externes qui pourraient être signalés par des logiciels de sécurité et/ou des mécanismes de détection de sécurité basés sur l’homme », a déclaré Ryan Chapman, chercheur à l’unité 42 de Palo Alto Networks. a dit.
« Ces méthodes peuvent également se cacher dans l’environnement d’exploitation général, fournissant une subversion à l’acteur de la menace. »
Vice Society, suivi par Microsoft sous le nom de DEV-0832, est un groupe de piratage axé sur l’extorsion qui est apparu sur la scène en mai 2021. Il est connu qu’il s’appuie sur des binaires de rançongiciels vendus sur le réseau criminel pour atteindre ses objectifs.
En décembre 2022, SentinelOne a détaillé l’utilisation par le groupe d’une variante de ransomware, baptisée PolyVice, qui implémente un schéma de chiffrement hybride qui combine le chiffrement asymétrique et symétrique pour chiffrer les fichiers en toute sécurité.
Le script PowerShell découvert par l’unité 42 (w1.ps1) fonctionne en identifiant les lecteurs montés sur le système, puis en recherchant de manière récursive dans chacun des répertoires racine pour faciliter l’exfiltration des données via HTTP.
L’outil utilise également des critères d’exclusion pour filtrer les fichiers système, les sauvegardes et les dossiers pointant vers les navigateurs Web ainsi que les solutions de sécurité de Symantec, ESET et Sophos. La société de cybersécurité a déclaré que la conception globale de l’outil démontre un « niveau de codage professionnel ».
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
La découverte du script d’exfiltration de données illustre la menace permanente de double extorsion dans le paysage des ransomwares. Il rappelle également aux organisations de donner la priorité à des protections de sécurité robustes et de rester vigilantes face à l’évolution des menaces.
« Le script d’exfiltration de données PowerShell de Vice Society est un outil simple pour l’exfiltration de données », a déclaré Chapman. « Le multi-traitement et la mise en file d’attente sont utilisés pour s’assurer que le script ne consomme pas trop de ressources système. »
« Cependant, l’accent mis par le script sur les fichiers de plus de 10 Ko avec des extensions de fichier et dans des répertoires qui correspondent à sa liste d’inclusion signifie que le script n’exfiltrera pas les données qui ne correspondent pas à cette description. »
