El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo documento en la parte pública de su portal. Se trata del Informe Código Dañino CCN-CERT ID-09/22 de Vice Society.

El presente documento recoge el análisis de una muestra de ransomware que pertenece al grupo VICE SOCIETY infectada por el virus Neshta.

vice society

VICE SOCIETY, también conocido como VICE SPIDER, empezó a tener actividad en abril de 2021. Este actor utiliza diferentes familias de ransomware como Zeppelin, Spider, Death Kitty para versión de Linux y Hive como RaaS (Ransomware as a service) para cifrar los archivos de sus víctimas. El vector de entrada que suele utilizar este actor es la utilización de credenciales legítimas comprometidas de servicios de VPN o RDP y así acceder a la red de las víctimas.

MuestraHash SHA-1
Ransomware infectado por NeshtaAFF4E088DE7E6630C1877B046362B01DBD549622
Ransomware244B8F0593A6A01BDF608A33D94A0A6B092C958A

Características de Vice Society – Neshta

El código dañino examinado posee las siguientes características:

  • Es compatible con sistemas Windows de 32 y 64 bits.
  • Resuelve APIs de forma dinámica.
  • Emplea técnicas para dificultar su detección de forma estática.
  • Infecta los ficheros ejecutables del equipo afectado.
  • Cifra los ficheros del equipo afectado.
  • Cifra ficheros utilizando algoritmos de cifrado simétrico y asimétrico.
  • Crea un mensaje de rescate en el escritorio del usuario.
  • No requiere de conexión a Internet.
  • Crea persistencia en el sistema.

Podéis consultar el documento completo a continuación:

¿Encontraste este artículo interesante? Sigue a DDR en Twitter, LinkedIn, Tiktok y Facebook o suscríbete a nuestra newsletter.