Cyberthreat.id – Peneliti keamanan siber dari SentinelOne mengungkapkan bahwa operasi ransomware Vice Society telah beralih menggunakan enkripsi ransomware khusus yang mengimplementasikan skema enkripsi hibrid yang kuat berdasarkan NTRUEncrypt dan ChaCha20-Poly1305.

SentinelOne menamainya "PolyVice", dan kemungkinan besar Vice Society mengambilnya dari vendor yang memasok alat serupa ke grup ransomware lain.

Dikutip dari Bleeping Computer, Vice Society pertama kali muncul pada musim panas 2021, ketika mereka mulai mencuri data dari jaringan perusahaan dan mengenkripsi perangkat. Pelaku ancaman kemudian akan melakukan serangan pemerasan ganda, mengancam akan mempublikasikan data jika uang tebusan tidak dibayarkan.

Secara historis, Vice Society telah menggunakan enkripsi operasi ransomware lainnya selama serangan, termasuk Zeppelin, Five Hands, dan HelloKitty. Namun, ini tampaknya telah berubah, dengan Vice Society sekarang menggunakan enkripsi baru yang diyakini dihasilkan oleh pembuat ransomware komoditas.

SentinelOne mengatakan, strain PolyVice baru, bagaimanapun, memberikan serangan Vice Society tanda tangan unik, menambahkan ekstensi ".ViceSociety" ke file yang terkunci dan menjatuhkan catatan tebusan bernama 'AllYFilesAE'. Varian baru ini pertama kali terlihat di alam liar pada 13 Juli 2022, tetapi tidak sepenuhnya diadopsi oleh grup hingga beberapa saat kemudian.

Analisis SentinelOne mengungkapkan bahwa PolyVice memiliki kesamaan kode yang luas dengan ransomware Chilly dan ransomware SunnyDay, dengan kecocokan 100% pada fungsi. Perbedaannya terletak pada detail khusus kampanye seperti ekstensi file, nama catatan tebusan, kunci master hardcode, wallpaper, dll., yang mendukung hipotesis vendor umum.

"Desain kode menyarankan pengembang ransomware menyediakan pembuat yang memungkinkan pembeli untuk secara mandiri menghasilkan sejumlah loker/pendekripsi dengan menambal biner muatan template," jelas SentinelOne dalam laporan tersebut.

Sistem ini memungkinkan pembeli untuk menyesuaikan ransomware mereka tanpa mengungkapkan kode sumber apa pun. Tidak seperti pembuat RaaS lain yang dikenal, pembeli dapat membuat muatan bermerek, memungkinkan mereka menjalankan program RaaS mereka sendiri.

Menurut SentinelOne PolyVice menggunakan skema enkripsi hibrid yang menggabungkan enkripsi asimetris dengan algoritme NTRUEncrypt dan enkripsi simetris dengan algoritme ChaCha20-Poly1305.

Saat peluncuran, payload mengimpor kunci publik NTRU 192-bit yang dibuat sebelumnya dan kemudian menghasilkan pasangan kunci pribadi NTRU 112-bit acak pada sistem yang disusupi, yang unik untuk setiap korban. Pasangan ini kemudian digunakan untuk mengenkripsi kunci simetris ChaCha20-Poly1305, yang unik untuk setiap file. Terakhir, pasangan kunci NTRU akhirnya dienkripsi menggunakan kunci NTRU publik untuk melindunginya dari upaya pengambilan.

“PolyVice ransomware adalah biner 64-bit yang menggunakan multi-threading untuk enkripsi data simetris paralel, memanfaatkan prosesor korban secara penuh untuk mempercepat proses enkripsi,” kata SentinelOne.

Selain itu, setiap pekerja PolyVice membaca konten file untuk menentukan pengoptimalan kecepatan apa yang dapat diterapkan di setiap kasus. Pengoptimalan ini bergantung pada ukuran file, dengan PolyVice menerapkan enkripsi intermiten secara selektif.

Semua fitur ini menunjukkan bahwa siapa pun yang mengembangkan jenis ransomware baru yang digunakan oleh Vice Society, Chilly, dan ransomware SunnyDay adalah pencipta malware yang berpengalaman dan berpengetahuan luas. Sebagai kesimpulan, temuan SentinelOne lebih lanjut menggarisbawahi tren outsourcing di ruang angkasa, dengan geng ransomware membayar spesialis untuk menciptakan alat yang canggih dan berkinerja tinggi.

“Bergantung pada tingkat ketersediaan dan biaya, alat ini dapat mempermudah pelaku ransomware berketerampilan rendah untuk melancarkan serangan dahsyat dan menyebabkan kerusakan signifikan pada organisasi,” tutup SentinelOne.