- Nhóm Vice Society đã áp dụng một payload ransomeware tùy chỉnh mới trong các cuộc xâm nhập gần đây. Biến thể ransomeware này được đặt tên là PolyVice sử dụng thuật toán NTRUEncrypt và ChaCha20-Poly1305.
Gần đây, các chuyên gia đã xác định được một đợt triển khai phần mềm tống tiền nối thêm phần mở rộng tệp .ViceSociety vào tất cả các tệp được mã hóa ngoài việc bỏ ghi chú đòi tiền chuộc với tên tệp “AllYFilesAE” trong mỗi thư mục được mã hóa.
Mã độc tống tiền được đặt tên là “PoluVice” đang trong giai đoạn phát triển. Phần mềm tống tiền Zeppelin từng được sử dụng trước đây, gần đây đã bị phát hiện triển khai một sơ đồ mã hóa yếu cho phép giải mã các tệp bị khóa, có khả năng thúc đẩy nhóm áp dụng một trình khóa mới.
 |
| Ảnh minh họa |
Vice Society đã sử dụng một bộ công cụ chứa nhiều chủng và biến thể ransomware khác nhau. Theo Microsoft, Vice Society đã áp dụng biến thể RedAlert vào cuối tháng 9 năm 2022. Cơ sở mã được sử dụng để xây dựng payload Windows của Vice Society đã được sử dụng để xây dựng payload tùy chỉnh cho các nhóm đe dọa khoác, bao gồm cả phần mềm tống tiền Chily và SunnyDay.
Phần mềm tống tiền PolyVice là một tệp nhị phân Windows 64 bit được biên dịch bằng MinGW (SHA1: c8e7ecbbe78a26bea813eeed6801a0ac9d1eacac). PolyVice triển khai sơ đồ mã hóa kết hợp mã hóa đối xứng và bất đối xứng để mã hóa an toàn các tệp. Đối với mã hóa bất đối xứng, nó sử dụng triển khai mã nguồn mở của thuật toán NTRUEncrypt. Đối với mã hóa đối xứng, nó sử dụng triển khai mã nguồn mở của thuật toán ChaCha20-Poly1305, mật mã luồng có xác thực thông báo, khóa 256 bit và nonce 96 bit.
Nhóm Vice Society đã tự khẳng định mình là một tác nhân đe dọa có nguồn lực và năng lực cao, có khả năng thực hiện thành công các cuộc tấn công đòi tiền chuộc vào các môi trường lớn. Việc áp dụng biến thể PolyVice ransomware đã củng cố hơn nữa các chiến dịch của chúng, cho phép chúng mã hóa dữ liệu của nạn nhân một cách nhanh chóng và hiệu quả bằng cách sử dụng sơ đồ mã hóa mạnh mẽ.
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia - Cục An toàn thông tin, Bộ Thông tin và Truyền thông, đây là một mối đe dọa nguy hiểm và không ngừng phát triển các cơ quan tổ chức cần quan tâm và luôn chuẩn bị phương pháp phòng ngừa.
Phạm Lê
