Vice Society usa ransomware e ferramenta PowerShell para exfiltração de dados
17 de Abril de 2023

Atacantes associados à gangue de ransomware Vice Society foram observados usando uma ferramenta personalizada baseada em PowerShell para passar despercebidos e automatizar o processo de exfiltração de dados de redes comprometidas.

"Os atacantes que usam métodos integrados de exfiltração de dados, como binários e scripts 'living off the land', negam a necessidade de trazer ferramentas externas que possam ser sinalizadas pelo software de segurança e/ou mecanismos de detecção de segurança baseados em humanos", disse o pesquisador da Palo Alto Networks Unit 42, Ryan Chapman.

"Esses métodos também podem se esconder dentro do ambiente operacional geral, proporcionando subversão ao atacante."

A Vice Society, rastreada pela Microsoft sob o nome DEV-0832, é um grupo de hackers focado em extorsão que surgiu em maio de 2021.

É conhecida por depender de binários de ransomware vendidos no submundo criminoso para atingir seus objetivos.

Em dezembro de 2022, a SentinelOne detalhou o uso do grupo de uma variante de ransomware, chamada PolyVice, que implementa um esquema de criptografia híbrida que combina criptografia assimétrica e simétrica para criptografar arquivos com segurança.

O script PowerShell descoberto pela Unit 42 (w1.ps1) funciona identificando unidades montadas no sistema e, em seguida, pesquisando recursivamente cada um dos diretórios raiz para facilitar a exfiltração de dados por HTTP.

A ferramenta também usa critérios de exclusão para filtrar arquivos do sistema, backups e pastas que apontam para navegadores da web, bem como soluções de segurança da Symantec, ESET e Sophos.

A empresa de segurança cibernética disse que o design geral da ferramenta demonstra um "nível profissional de codificação".

A descoberta do script de exfiltração de dados ilustra a ameaça contínua de dupla extorsão no cenário de ransomware.

Também serve como um lembrete para as organizações priorizarem proteções de segurança robustas e permanecerem vigilantes contra ameaças em constante evolução.

"O script de exfiltração de dados do PowerShell da Vice Society é uma ferramenta simples para exfiltração de dados", disse Chapman.

"O processamento em várias etapas e a fila são usados para garantir que o script não consuma muitos recursos do sistema."

"No entanto, o foco do script em arquivos com mais de 10 KB com extensões de arquivo e em diretórios que atendem à sua lista de inclusão significa que o script não exfiltrará dados que não se encaixem nessa descrição."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...