Le gang de rançongiciels Vice Society déploie un nouveau script PowerShell plutôt sophistiqué pour automatiser le vol de données à partir de réseaux compromis.
Le vol de données d’entreprise et de clients est une tactique standard dans les attaques de ransomwares à utiliser comme levier supplémentaire lors de l’extorsion de victimes ou de la revente des données à d’autres cybercriminels pour un profit maximal.
Le nouvel exfiltreur de données de Vice Society est entièrement automatisé et utilise des binaires et des scripts « vivant de la terre » qui sont peu susceptibles de déclencher des alarmes de logiciels de sécurité, gardant leurs activités furtives avant l’étape finale de l’attaque par ransomware, le cryptage des données.
Exfiltration PowerShell
Le nouvel outil de vol de données a été découvert par l’unité 42 de Palo Alto Networks lors d’une réponse à un incident au début de 2023, lorsque les intervenants ont récupéré un fichier nommé « w1.ps1 » sur le réseau d’une victime et, plus précisément, référencé dans un ID d’événement 4104 : Script Bloquer l’événement de journalisation.
Le script utilise PowerShell pour automatiser l’exfiltration de données et se compose de plusieurs fonctions, notamment Work(), Show(), CreateJobLocal() et fill().
Ces quatre fonctions sont utilisées pour identifier les répertoires potentiels pour l’exfiltration, traiter des groupes de répertoires et éventuellement exfiltrer des données via des requêtes HTTP POST vers les serveurs de Vice Society.
« Le script ne nécessite aucun argument, car la responsabilité de savoir quels fichiers copier hors du réseau est laissée au script lui-même », note l’unité 42 dans le rapport.
« Les tests ont confirmé que le script ignore à la fois les fichiers dont la taille est inférieure à 10 Ko et ceux qui n’ont pas d’extension de fichier. »
Bien qu’il semble y avoir des fonctionnalités automatisées dans le script pour déterminer quels fichiers sont volés, il existe toujours une liste principale d’exclusion et d’inclusion pour aider à affiner les fichiers volés.
Par exemple, le script ne volera pas les données des dossiers dont les noms incluent des chaînes communes pour les sauvegardes, les dossiers d’installation de programme et les dossiers du système d’exploitation Windows.
Cependant, il ciblera spécifiquement les dossiers contenant plus de 433 chaînes en anglais, tchèque, allemand, lituanien, luxembourgeois, portugais et polonais, en mettant l’accent sur l’allemand et l’anglais.
Par exemple, certains des dossiers qu’il cible incluent :
Le script PowerShell utilise des applets de commande natifs du système comme « Get-ChildItem » et « Select-String » pour rechercher et exfiltrer les données de la machine infectée, en minimisant son empreinte et en maintenant un profil furtif.
Un autre aspect intéressant du nouvel exfiltreur de données de Vice Society est sa mise en œuvre à limitation de débit qui définit un maximum de 10 tâches exécutées simultanément de cinq groupes de répertoires pour éviter de capturer trop de ressources disponibles de l’hôte.
Bien que l’objectif spécifique derrière cela ne soit pas clair, l’unité 42 commente qu’il s’aligne sur les meilleures pratiques de codage et montre un niveau professionnel de codage de script.
Vice Society évolue
Le nouveau script d’exfiltration de données de Vice Society utilise des outils « vivre hors de la terre » pour échapper à la détection de la plupart des logiciels de sécurité et propose un traitement multiple et une mise en file d’attente des processus pour garder son empreinte réduite et son activité furtive.
L’unité 42 commente que cette approche rend la détection et la chasse difficiles, bien que les chercheurs en sécurité aient fourni des conseils à ce sujet au bas de leur rapport.
En décembre 2022, SentinelOne a averti que Vice Society était passé à un nouveau chiffreur de fichiers sophistiqué appelé « PolyVice », qui a probablement été fourni par un développeur sous contrat qui a également vendu son malware aux rançongiciels Chilly et SunnyDay.
Malheureusement, avec l’adoption d’outils toujours plus sophistiqués, la Vice Society est devenue une menace plus redoutable pour les organisations du monde entier, offrant aux défenseurs moins d’opportunités de détecter et d’arrêter les attaques.