Vice Society Fidyeware Gang, veri hırsızlığını tehlikeye atılan ağlardan otomatikleştirmek için yeni, oldukça sofistike bir PowerShell betiği kullanıyor.
Kurumsal ve müşteri verilerinin çalmak, kurbanları zorla veya verileri maksimum kâr için diğer siber suçlulara satarken daha fazla kaldıraç olarak kullanılmak üzere fidye yazılımı saldırılarında standart bir taktiktir.
Vice Society'nin yeni veri eksfiltratörü tamamen otomatiktir ve güvenlik yazılımından alarmları tetiklemesi muhtemel olmayan "arazide yaşamak" ikili dosyalarını ve komut dosyalarını kullanır ve faaliyetlerini fidye yazılımı saldırısının son adımından önce, verilerin şifrelemesinden önce gizli tutar.
Yeni veri hırsızlığı aracı, 2023'ün başlarında, yanıt verenlerin bir kurbanın ağından "W1.ps1" adlı bir dosyayı kurtardığı ve daha spesifik olarak bir olay kimliğinde referans verildiğinde Palo Alto Networks birimi 42 tarafından keşfedildi: Blok Günlük Etkinliği.
Komut dosyası, veri açığa çıkmasını otomatikleştirmek için PowerShell kullanır ve Work (), show (), createJoblocal () ve Fill () dahil olmak üzere birden fazla işlevden oluşur.
Bu dört işlev, pessfiltrasyon için potansiyel dizinleri tanımlamak, dizinlerin proses gruplarını tanımlamak ve nihayetinde Vice Society sunucularına HTTP Post istekleri aracılığıyla verileri dışarı atmak için kullanılır.
Raporda, "Komut dosyası, ağdan hangi dosyaların kopyalanacağının komut dosyasının kendisine bırakıldığından dolayı herhangi bir argüman gerektirmez."
"Test, komut dosyasının 10 kb'nin altında ve dosya uzantısı olmayanları her iki dosyayı da yok saydığını doğruladı."
Komut dosyasında hangi dosyaların çalındığını belirlemek için bazı otomatik işlevler var gibi görünse de, hangi dosyaların çalındığını iyileştirmeye yardımcı olmak için hala bir ana hariç tutma ve dahil etme listesi vardır.
Örneğin, komut dosyası, adları yedekleme için ortak dizeler, program kurulum klasörleri ve Windows işletim sistemi klasörleri içeren klasörlerden veri çalmayacaktır.
Bununla birlikte, özellikle Almanca ve İngilizce'yi vurgulayarak İngilizce, Çek, Almanca, Litvanya, Lüksemburg, Portekizli ve Lehçe'de 433'ten fazla ip içeren klasörleri hedefleyecektir.
Örneğin, hedeflediği bazı klasörler şunları içerir:
PowerShell komut dosyası, enfekte makineden verileri aramak ve dışarı atmak, ayak izini en aza indirmek ve gizli bir profili korumak için "Get-cilditem" ve "Seçme Seçme" gibi sistem-doğal cmdletleri kullanır.
Vice Society’nin yeni veri eksfiltratorının bir diğer ilginç yönü, ev sahibinin mevcut kaynaklarının çok fazla kısmını yakalamaktan kaçınmak için beş dizin grubunun eşzamanlı olarak çalıştırılan maksimum işini belirleyen oran sınırlayıcı uygulamasıdır.
Bunun arkasındaki özel hedef belirsiz olsa da, Ünite 42, en iyi kodlama uygulamalarıyla uyumlu olduğunu ve profesyonel bir senaryo kodlama düzeyini gösterdiğini yorumlar.
Vice Society’nin yeni veri söndürme komut dosyası, çoğu güvenlik yazılımından algılamadan kaçınmak için “arazinin dışında yaşamak” araçlarını kullanır ve ayak izini küçük ve etkinliğini gizli tutmak için çok işleme ve süreç kuyruğuna sahiptir.
Ünite 42, güvenlik araştırmacıları raporlarının altındaki bu cephede tavsiyelerde bulunmasına rağmen, bu yaklaşımın tespit ve avı zorlaştırdığını yorumlamaktadır.
Aralık 2022'de Sentinelone, Vice Society hakkında, muhtemelen kötü amaçlı yazılımlarını soğuk ve sunnyday fidye yazılımlarına satan sözleşmeli bir geliştirici tarafından sağlanan yeni, sofistike bir dosya şifrelemesine geçtiği konusunda uyardı.
Ne yazık ki, sürekli sofistike araçların benimsenmesiyle, Vice Society dünya çapında kuruluşlar için daha zorlu bir tehdit haline geldi ve savunuculara saldırıları tespit etmek ve durdurmak için daha az fırsat verdi.
Fidye Yazılımında Hafta - 14 Nisan 2023 - Çalınan verilere odaklanmak
Fidye Yazılımı Gang Minneapolis okullarından çalınan verilerin videosunu yayınlar
Ex-Conti üyeleri ve Fin7 Devs yeni Domino kötü amaçlı yazılımları zorlamak için bir araya geliyor
Lockbit Fidye Yazılımı şifrelemeleri Mac Cihazlarını Hedefleme Bulundu
NCR, Blackcat Fidye Yazılımı Saldırısı'ndan sonra Aloha POS kesintisi yaşıyor
Kaynak: Bleeping Computer