Vice Society usa ransomware e ferramenta PowerShell para exfiltração de dados
17 de Abril de 2023

Atacantes associados à gangue de ransomware Vice Society foram observados usando uma ferramenta personalizada baseada em PowerShell para passar despercebidos e automatizar o processo de exfiltração de dados de redes comprometidas.

"Os atacantes que usam métodos integrados de exfiltração de dados, como binários e scripts 'living off the land', negam a necessidade de trazer ferramentas externas que possam ser sinalizadas pelo software de segurança e/ou mecanismos de detecção de segurança baseados em humanos", disse o pesquisador da Palo Alto Networks Unit 42, Ryan Chapman.

"Esses métodos também podem se esconder dentro do ambiente operacional geral, proporcionando subversão ao atacante."

A Vice Society, rastreada pela Microsoft sob o nome DEV-0832, é um grupo de hackers focado em extorsão que surgiu em maio de 2021.

É conhecida por depender de binários de ransomware vendidos no submundo criminoso para atingir seus objetivos.

Em dezembro de 2022, a SentinelOne detalhou o uso do grupo de uma variante de ransomware, chamada PolyVice, que implementa um esquema de criptografia híbrida que combina criptografia assimétrica e simétrica para criptografar arquivos com segurança.

O script PowerShell descoberto pela Unit 42 (w1.ps1) funciona identificando unidades montadas no sistema e, em seguida, pesquisando recursivamente cada um dos diretórios raiz para facilitar a exfiltração de dados por HTTP.

A ferramenta também usa critérios de exclusão para filtrar arquivos do sistema, backups e pastas que apontam para navegadores da web, bem como soluções de segurança da Symantec, ESET e Sophos.

A empresa de segurança cibernética disse que o design geral da ferramenta demonstra um "nível profissional de codificação".

A descoberta do script de exfiltração de dados ilustra a ameaça contínua de dupla extorsão no cenário de ransomware.

Também serve como um lembrete para as organizações priorizarem proteções de segurança robustas e permanecerem vigilantes contra ameaças em constante evolução.

"O script de exfiltração de dados do PowerShell da Vice Society é uma ferramenta simples para exfiltração de dados", disse Chapman.

"O processamento em várias etapas e a fila são usados para garantir que o script não consuma muitos recursos do sistema."

"No entanto, o foco do script em arquivos com mais de 10 KB com extensões de arquivo e em diretórios que atendem à sua lista de inclusão significa que o script não exfiltrará dados que não se encaixem nessa descrição."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...