Geng ransomware Vice Society sedang menyebarkan skrip PowerShell baru yang agak canggih untuk mengotomatiskan pencurian data dari jaringan yang disusupi.
Mencuri data perusahaan dan pelanggan adalah taktik standar dalam serangan ransomware untuk digunakan sebagai pengaruh lebih lanjut saat memeras korban atau menjual kembali data ke penjahat dunia maya lain untuk mendapatkan keuntungan maksimum.
Exfiltrator data baru Vice Society sepenuhnya otomatis dan menggunakan binari dan skrip “living off the land” yang tidak mungkin memicu alarm dari perangkat lunak keamanan, menjaga aktivitas mereka tetap tersembunyi sebelum langkah terakhir serangan ransomware, yaitu mengenkripsi data.
Eksfiltrasi PowerShell
Alat pencurian data baru ditemukan oleh Palo Alto Networks Unit 42 selama respons insiden pada awal 2023, saat responden memulihkan file bernama “w1.ps1” dari jaringan korban dan, lebih khusus lagi, direferensikan dalam ID Peristiwa 4104: Script Blokir acara Logging.
Skrip menggunakan PowerShell untuk mengotomatiskan eksfiltrasi data dan terdiri dari beberapa fungsi, termasuk Work(), Show(), CreateJobLocal(), dan fill().
Keempat fungsi ini digunakan untuk mengidentifikasi direktori potensial untuk eksfiltrasi, memproses grup direktori, dan akhirnya mengekstraksi data melalui permintaan HTTP POST ke server Vice Society.
“Skrip tidak memerlukan argumen apa pun, karena tanggung jawab file apa yang akan disalin dari jaringan diserahkan kepada skrip itu sendiri,” catatan Unit 42 dalam laporan.
“Pengujian mengonfirmasi bahwa skrip mengabaikan kedua file yang berukuran di bawah 10 KB dan yang tidak memiliki ekstensi file.”
Meskipun tampaknya ada beberapa fungsi otomatis dalam skrip untuk menentukan file apa yang dicuri, masih ada daftar pengecualian dan penyertaan master untuk membantu menyempurnakan file apa yang dicuri.
Misalnya, skrip tidak akan mencuri data dari folder yang namanya menyertakan string umum untuk cadangan, folder instalasi program, dan folder sistem operasi Windows.
Namun, ini secara khusus akan menargetkan folder mengandung lebih dari 433 string dalam bahasa Inggris, Ceko, Jerman, Lituania, Luksemburg, Portugis, dan Polandia, menekankan bahasa Jerman dan Inggris.
Misalnya, beberapa folder yang ditargetkan meliputi:
*941*", "*1040*", "*1099*", "*8822*", "*9465*", "*401*K*", "*401K*", "*4506*T*", "*4506T*", "*Abkommen*", "*ABRH*", "*Abtretung*", "*abwickeln*", "*ACA*1095*", "*Accordi*", "*Aceito*", "*Acordemen*", "*Acordos*", "*Acuerde*", "*Acuerdo*", "*Addres*", "*Adres*", "*Affectation*", "*agreem*", "*Agreemen*Disclosur*", "*agreement*", "*Alamat*", "*Allocation*", "*angreifen*", "*Angriff*", "*Anmeldeformationen*", "*Anmeldeinformationen*", "*Anmeldenunter*", "*Anmeldung*", "*Anschrift*", "*Anspruch*", "*Ansspruch*", "*Anweisung*", "*AnweisungBank*", "*anxious*", "*Análise*", "*Apotheke*", "*ARH*", "*Asignación*", "*Asignatura*", "*Assegnazione*", "*Assignation*", "*Assignment*", "*Atribuição*", "*attorn*", "*Audit*", "*Auditnaadrese*", "*Aufführen*", "*Aufgabe*", "*Aufschühren*", "*Auftrag*", "*auftrunken*", "*Auftrunkinen*", "*Auswertung*", "*Avaliação*", "*Avaliações*", "*Avtal*", "*balanc*", "*bank*", "*Bargeld*", "*Belästigung*", "*Benef*", "*benefits*", "*Bericht*", "*Beschäftigung*", "*Betrug*", "*Bewertung*", "*bezahlen*", "*billing*", "*bio*"Skrip PowerShell menggunakan cmdlet asli sistem seperti “Get-ChildItem” dan “Select-String” untuk mencari dan mengekstrak data dari mesin yang terinfeksi, meminimalkan jejaknya, dan mempertahankan profil tersembunyi.
Aspek lain yang menarik dari exfiltrator data baru Vice Society adalah penerapan pembatasan kecepatan yang menetapkan maksimal 10 pekerjaan yang berjalan secara bersamaan dari lima grup direktori untuk menghindari penangkapan terlalu banyak sumber daya host yang tersedia.
Meskipun tujuan spesifik di balik ini tidak jelas, Unit 42 berkomentar bahwa ini sejalan dengan praktik pengkodean terbaik dan menunjukkan tingkat profesional pengkodean skrip.
Wakil Masyarakat berkembang
Skrip pengelupasan data baru dari Vice Society menggunakan alat “living off the land” untuk menghindari deteksi dari sebagian besar perangkat lunak keamanan dan menampilkan multi-pemrosesan dan proses antrean untuk menjaga jejaknya tetap kecil dan aktivitasnya tersembunyi.
Unit 42 berkomentar bahwa pendekatan ini membuat pendeteksian dan perburuan menantang, meskipun peneliti keamanan telah memberikan saran di bagian depan di bagian bawah laporan mereka.
Pada bulan Desember 2022, SentinelOne memperingatkan tentang Vice Society yang telah beralih ke enkripsi file baru yang canggih yang dijuluki “PoliVice,” yang mungkin dipasok oleh pengembang kontrak yang juga menjual malware-nya ke ransomware Chilly dan SunnyDay.
Sayangnya, dengan pengadopsian alat yang canggih, Vice Society telah menjadi ancaman yang lebih besar bagi organisasi di seluruh dunia, memberikan lebih sedikit kesempatan bagi para pembela HAM untuk mendeteksi dan menghentikan serangan.
