NUEVO RANSOMWARE POLYVICE

22/12/2022

BOLETÍN NRO 2022-748

Recientemente, se ha detectado una nueva campaña del ransomware de Vice Society, quien ha pasado a utilizar un encriptador personalizado que implementa un esquema de cifrado fuerte e híbrido basado en NTRUEncrypt y ChaCha20-Poly1305.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   CRÍTICA

Históricamente, Vice Society ha empleado cifradores de otras operaciones de ransomware durante sus ataques, como Zeppelin, Five Hands y HelloKitty. Sin embargo, esto parece haber cambiado, ya que ahora Vice Society utiliza un nuevo cifrador que se cree que ha sido generado por un desarrollador de ransomware.

La nueva cepa PolyVice, da a los ataques de Vice Society una firma única, añadiendo la extensión "ViceSociety" a los archivos bloqueados y dejando caer notas de rescate llamadas AllYFilesAE. Pero especialistas de seguridad indican que PolyVice tiene grandes similitudes de código con el ransomware Chilly y el ransomware SunnyDay, con una coincidencia del 100% en las funciones.

Las diferencias radican en detalles específicos de la campaña, como la extensión del archivo, el nombre de la nota de rescate, la clave maestra codificada, el fondo de pantalla, etc., lo que apoya la hipótesis de un mismo proveedor común.

PolyVice utiliza un esquema de cifrado híbrido que combina el cifrado asimétrico con el algoritmo NTRUEncrypt y el cifrado simétrico con el algoritmo ChaCha20-Poly1305.

Al lanzarse, el payload importa una clave pública NTRU de 192 bits generada previamente y, a continuación, genera un par de claves privadas NTRU aleatorias de 112 bits en el sistema comprometido, que es único para cada víctima. Este par se emplea para cifrar las claves simétricas ChaCha20-Poly1305, que son únicas para cada archivo. Por último, el par de claves NTRU se cifra finalmente utilizando la clave pública NTRU para protegerlo de intentos de recuperación. El ransomware PolyVice es un binario de 64 bits que usa multi-threading para el cifrado simétrico paralelo de datos, utilizando al máximo el procesador de la víctima para acelerar el proceso de cifrado.

Además, cada work de PolyVice lee el contenido del archivo para determinar qué optimizaciones de velocidad pueden aplicarse en cada caso. Estas optimizaciones dependen del tamaño del archivo, y PolyVice aplica el cifrado intermitente de forma selectiva.

Los archivos de menos de 5MB se cifran completamente, los archivos de entre 5MB y 100MB se cifran parcialmente, dividiéndolos en trozos de 2,5MB y saltándose cada dos trozos y los archivos de más de 100 MB se dividen en diez trozos distribuidos uniformemente, y se cifran 2,5 MB de cada trozo.

Indicadores de Compromiso

IP

5[.]255[.]99[.]59

5[.]161[.]136[.]176

198[.]252[.]98[.]184

194[.]34[.]246[.]90

Hash

MD5: 9fda237668200542b7a524afd59c6b48

SHA-256: f366e079116a11c618edcb3e8bf24bcd2ffe3f72a6776981bf1af7381e504d61

MD5: eb661d75b073faeb176517dc12924b59

SHA-256: 9d9e949ecd72d7a7c4ae9deae4c035dcae826260ff3b6e8a156240e28d7dbfef

MD5: b6046c5292655ffbe5d5adf23d0028d3

SHA-256: 8c8cb887b081e0d92856fb68a7df0dabf0b26ed8f0a6c8ed22d785e596ce87f4

MD5: 6307838a9cef952321a44cc3e189213e

SHA-256: 7b379458349f338d22093bb634b60b867d7fd1873cbd7c65c445f08e73cbb1f6

MD5: 7328af3a365df9561a55e86421fb81c0

SHA-256: 4dabb914b8a29506e1eced1d0467c34107767f10fdefa08c40112b2e6fc32e41

MD5: 550aa7cff3656d154180c34b35d7c24c

SHA-256: 326a159fc2e7f29ca1a4c9a64d45b76a4a072bc39ba864c49d804229c5f6d796

MD5: f2fa9a3ce883a7f5b43ba5c9ff7bdf75

SHA-256: 039e1765de1cdec65ad5e49266ab794f8e5642adb0bdeb78d8c0b77e8b34ae09

MD5: f66b738e1bfe1f8aab510abed850c424

SHA-256: faa79c796c27b11c4f007023e50509662eac4bca99a71b26a9122c260abfb3c6

MD5: cf5a358a22326f09fd55983bb812b7d8

SHA-256: dd89d939c941a53d6188232288a3bd73ba9baf0b4ca6bf6ccca697d9ee42533f

MD5: aa2048271f0aef3383480ce4a7c93b52

SHA-256: bafd3434f3ba5bb9685e239762281d4c7504de7e0cfd9d6394e4a85b4882ff5d

MD5: 8090cb9a98392d753116e30e0be9f25a

SHA-256: ab440c4391ea3a01bebbb651c80c27847b58ac928b32d73ed3b19a0b17dd7e75

MD5: 183b6b0c90c1e0276a2015752344a4cf

SHA-256: aa7e2d63fc991990958dfb795a0aed254149f185f403231eaebe35147f4b5ebe

MD5: c710f20daf8193059c525323b701d3b6

SHA-256: 78efe6f5a34ba7579cfd8fc551274029920a9086cb713e859f60f97f591a7b04

MD5: 6925354a71373955ac304b48e28fa09d

SHA-256: 754f2022b72da704eb8636610c6d2ffcbdae9e8740555030a07c8c147387a537

MD5: 2cf4020ec3cf752f7d8524296c041658

SHA-256: 643a3121166cd1ee5fc6848f099be7c7c24d36f5922f58052802b91f032a5f0f

MD5: 78621f1e196497d440afb57f4609fcf9

SHA-256: 4a4be110d587421ad50d2b1a38b108fa05f314631066a2e96a1c85cc05814080

MD5: a667790c98398e8cc478d1172afd0002

SHA-256: 4440763b18d75a0f9de30b1c4c2aeb3f827bc4f5ea9dd1a2aebe7e5b23cfdf94

MD5: e4f1f05c2e6c3fc2f3336a8c8799ffb4

SHA-256: 307877881957a297e41d75c84e9a965f1cd07ac9d026314dcaff55c4da23d03e

MD5: 4aa0fef7356c18214f9c9bb3a9ea16cd

SHA-256: 24efa10a2b51c5fd6e45da6babd4e797d9cae399be98941f950abf7b5e9a4cd7

MD5: 09c93a2562b5157264a5396048fd8bb5

SHA-256: 16a0054a277d8c26beb97850ac3e86dd0736ae6661db912b8782b4eb08cfd36e

MD5: 981526650af8d6f8f20177a26abb513a

SHA-256: 001938ed01bfde6b100927ff8199c65d1bff30381b80b846f2e3fe5a0d2df21d

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Vice Society ransomware gang switches to new custom encryptor
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​