Vice社会勒索软件团伙正在使用自定义储物柜

SentinelOne研究人员发现，Vice Society勒索软件团伙已经开始使用自定义勒索软件，该勒索软件使用NTRUEncrypt和ChaCha20-Poly1305算法实现强大的加密方案。

Vice Society 勒索软件自 2021 年 6 月以来一直活跃，研究人员认为它是 HelloKitty 勒索软件的衍生产品，该恶意软件针对主要属于中小型受害者的 Windows 和 Linux 系统。该组织专注于公立学区和其他教育机构，与其他勒索软件团伙一样，它实施双重勒索模型，并在数据泄露站点上发布从受害者那里窃取的数据。

被称为“PolyVice”的新变体在最近的一次攻击中使用，并附加了文件扩展名”。ViceSociety“到所有加密文件。该恶意软件在每个加密目录中都丢弃了文件名为“AllYFilesAE”的赎金记录。研究人员推测勒索软件处于开发的早期阶段，他们在代码中发现了调试消息。

SentinelOne 注意到与 RedAlert 勒索软件中实施的过程存在显着重叠，这种情况表明这两种变体都是由同一威胁参与者开发的。

进一步的调查还显示，Vice Society Windows有效负载的代码库已被用于为其他勒索软件组织（如“Chily”和“SunnyDay”）构建自定义品牌的有效负载。“我们评估很可能是一个以前不为人知的开发人员或具有勒索软件开发专业知识的开发人员团队正在向多个团队销售定制品牌的勒索软件有效负载。这些有效载荷中嵌入的细节使得Vice Society，SunnyDay和Chily勒索软件不太可能由同一组织操作。继续报告。“这种'储物柜即服务'的交付方法尚不清楚，但代码设计表明勒索软件开发人员提供了一个构建器，使买家能够通过二进制修补模板有效负载来独立生成任意数量的储物柜/解密器。”

买家可以在不泄露任何源代码的情况下自定义他们的勒索软件，并且可以生成品牌有效负载来运行自己的 RaaS 程序。

PolyVice使用的加密方案结合了非对称和对称加密来安全地加密文件。它利用抗量子 NTRUEncrypt 算法进行非对称加密，并利用 ChaCha20-Poly1305 算法的开源实现进行对称加密。PolyVice储物柜实施多线程方法来并行化加密过程。该恶意软件使用 CreateThread 函数生成多个工作线程，并依靠 WaitForMultipleObject 调用与主线程同步，主线程和工作线程使用 I/O 完成端口交换数据。

PolyVice 工作人员读取文件内容以确定要应用的速度优化，具体取决于文件大小。PolyVice 勒索软件有选择地应用间歇性加密。