Los actores maliciosos del ransomware Vice Society han cambiado a otro ransomware personalizado en sus recientes ataques dirigidos a diversos sectores.
«Esta variante de ransomware, apodada ‘PolyVice’, implementa un esquema de cifrado robusto, utilizando algoritmos NTRUEncrypt y ChaCha20-Poly1305«.
Afirma en un análisis el investigador de SentinelOne Antonio Cocomazzi.
Vice Society, rastreado por Microsoft bajo el apodo DEV-0832, es un grupo de hackers de intrusión, extracción y extorsión que apareció por primera vez en el panorama de amenazas en mayo de 2021.
A diferencia de otras bandas de ransomware, este grupo no utiliza malware de cifrado de archivos desarrollado internamente. En su lugar, es conocido por desplegar en sus ataques lockers de terceros como Hello Kitty, Zeppelin y RedAlert ransomware.
Según SentinelOne, los indicios apuntan a que el actor de la amenaza que está detrás del ransomware personalizado también está usando payloads similares a otros equipos de piratas informáticos, basándose en las grandes similitudes de PolyVice con las versiones de ransomware Chily y SunnyDay.
Esto implica un «Locker-as-a-Service» ofrecido por un actor de amenazas desconocido en forma de constructor que permite a sus compradores personalizar sus payloads, incluyendo la extensión del archivo cifrado, el nombre del archivo de la nota de rescate, el contenido de la nota de rescate y el texto del fondo de pantalla, entre otros.
Es probable que el cambio de Zeppelin se haya visto espoleado por el descubrimiento de debilidades en su algoritmo de cifrado que permitieron a los investigadores de la empresa de ciberseguridad Unit221b idear un descifrador en febrero de 2020.
Además de implementar un esquema de cifrado híbrido que combina el cifrado asimétrico y simétrico para cifrar archivos de forma segura, PolyVice también hace uso del cifrado parcial y del multihilo para acelerar el proceso.
Cabe señalar que el ransomware Royal, descubierto recientemente, emplea tácticas similares para eludir las defensas antimalware, según reveló Cybereason la semana pasada.
Royal, que tiene sus raíces en la ya desaparecida operación de ransomware Conti, también se ha observado que utiliza call-back-phishing (o entrega de ataques orientados al teléfono) para engañar a las víctimas para que instalen un software de escritorio remoto para el acceso inicial.
La filtración del código fuente de Conti alimenta nuevas variantes de ransomware
Mientras tanto, la filtración del código fuente de Conti a principios de este año ha dado lugar a una serie de nuevas versiones de ransomware como Putin Team, ScareCrow, BlueSky y Meow, reveló Cyble, destacando cómo estas filtraciones están facilitando a los actores de amenazas el lanzamiento de diferentes malware con una inversión mínima.
«El ecosistema del ransomware está en constante evolución, con la tendencia a la hiperespecialización y la externalización en continuo crecimiento».
«Representa una amenaza significativa para las organizaciones, ya que permite la proliferación de sofisticados ataques de ransomware«.
Declaraciones de Cocomazzi
Más información:
Deja una respuesta