Fist

Vice Society ランサムウェア オペレーションは、NTRUEncrypt と ChaCha20-Poly1305 に基づく強力なハイブリッド暗号化スキームを実装するカスタム ランサムウェア暗号化の使用に切り替えました。

新しい株を発見し、「PolyVice」と名付けたサイバーセキュリティ会社 SentinelOne によると、Vice Society は他のランサムウェア グループに同様のツールを提供しているベンダーからこの株を入手した可能性が高いとのことです。

Vice Society は 2021 年の夏に初めて登場し、企業ネットワークからデータを盗み、デバイスを暗号化し始めました。その後、攻撃者は二重恐喝攻撃を実行し、身代金を支払わなければデータを公開すると脅迫します。

歴史的に、Vice Society は、Zeppelin、Five Hands、HelloKitty など、攻撃中に他のランサムウェア オペレーションの暗号化ツールを使用してきました。

しかし、これは変わったようで、Vice Society は現在、コモディティ ランサムウェア ビルダーによって生成されたと考えられる新しい暗号化ツールを使用しています。

新しい「PolyVice」エンクリプター

ただし、新しい PolyVice 株は、バイス ソサエティ攻撃に固有の署名を与え、ロックされたファイルに「.ViceSociety」拡張子を追加し、「AllYFilesAE」という名前の身代金メモをドロップします。

副協会の身代金メモ
副協会の身代金メモ
ソース:

この新しい亜種は、2022 年 7 月 13 日に最初に確認されましたが、かなり後になるまでグループに完全に採用されませんでした。

SentinelOne の分析によると、PolyVice のコードは、Chilly ランサムウェアおよび SunnyDay ランサムウェアと非常によく似ており、機能は 100% 一致しています。

Chilly と PolyVice の類似点
Chilly と PolyVice (SentinelOne)の類似点

違いは、ファイル拡張子、ランサム ノートの名前、ハードコードされたマスター キー、壁紙など、キャンペーン固有の詳細にあり、ベンダーの一般的な仮説を裏付けています。

「コードの設計は、ランサムウェアの開発者が、テンプレート ペイロードにバイナリ パッチを適用することで、購入者が任意の数のロッカー/復号化プログラムを個別に生成できるようにするビルダーを提供していることを示唆しています」 と SentinelOne はレポートで説明しています。

「これにより、購入者はソース コードを公開せずにランサムウェアをカスタマイズできます。他の既知の RaaS ビルダーとは異なり、購入者はブランド化されたペイロードを生成できるため、独自の RaaS プログラムを実行できます。」

ハイブリッド暗号化

PolyVice は、非対称暗号化と NTRUEncrypt アルゴリズム、および対称暗号化と ChaCha20-Poly1305 アルゴリズムを組み合わせたハイブリッド暗号化スキームを使用します。

起動時に、ペイロードは事前に生成された 192 ビットの NTRU 公開鍵をインポートし、侵害されたシステムでランダムな 112 ビットの NTRU 秘密鍵のペアを生成します。これは各被害者に固有のものです。

このペアは、各ファイルに固有の ChaCha20-Poly1305 対称キーの暗号化に使用されます。最後に、NTRU キー ペアは最終的に公開 NTRU キーを使用して暗号化され、取得試行から保護されます。

NTRU秘密鍵ペアの暗号化
NTRU 秘密鍵ペアの暗号化(SentinelOne)

PolyVice ランサムウェアは、並列対称データ暗号化にマルチスレッドを使用する 64 ビット バイナリであり、被害者のプロセッサをフルに活用して暗号化プロセスを高速化します。

さらに、各 PolyVice ワーカーはファイルの内容を読み取り、それぞれの場合に適用できる速度の最適化を決定します。これらの最適化はファイル サイズに依存し、PolyVice は断続的な暗号化を選択的に適用します。

  • 5MB 未満のファイルは完全に暗号化されます。
  • 5MB から 100MB のファイルは部分的に暗号化され、2.5MB のチャンクに分割され、2 チャンクごとにスキップされます。
  • 100MB を超えるファイルは 10 個の均等に分散されたチャンクに分割され、各チャンクの 2.5MB が暗号化されます。

暗号化後、各 PolyVice ワーカーはファイル フッターに復号化に必要な情報を書き込みます。

PolyVice ワーカー スレッド コード
PolyVice ワーカー スレッド コード(SentinelOne)

これらすべての特徴は、Vice Society、Chilly、および SunnyDay ランサムウェアで使用される新しいランサムウェア株を開発した人が、経験豊富で知識豊富なマルウェア作成者であることを示しています。

結論として、SentinelOne の調査結果は、この分野でのアウトソーシングの傾向をさらに明確に示しており、ランサムウェア ギャングは専門家に支払いを行って洗練された高性能ツールを作成しています。

可用性とコストのレベルによっては、これらのツールを使用すると、スキルの低いランサムウェア アクターが壊滅的な攻撃を仕掛けやすくなり、組織に重大な損害を与える可能性があります。