El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo documento en la parte pública de su portal. Se trata del Informe Código Dañino CCN-CERT ID-09/22 de Vice Society.
El presente documento recoge el análisis de una muestra de ransomware que pertenece al grupo VICE SOCIETY infectada por el virus Neshta.
VICE SOCIETY, también conocido como VICE SPIDER, empezó a tener actividad en abril de 2021. Este actor utiliza diferentes familias de ransomware como Zeppelin, Spider, Death Kitty para versión de Linux y Hive como RaaS (Ransomware as a service) para cifrar los archivos de sus víctimas. El vector de entrada que suele utilizar este actor es la utilización de credenciales legítimas comprometidas de servicios de VPN o RDP y así acceder a la red de las víctimas.
Muestra | Hash SHA-1 |
Ransomware infectado por Neshta | AFF4E088DE7E6630C1877B046362B01DBD549622 |
Ransomware | 244B8F0593A6A01BDF608A33D94A0A6B092C958A |
Características de Vice Society – Neshta
El código dañino examinado posee las siguientes características:
- Es compatible con sistemas Windows de 32 y 64 bits.
- Resuelve APIs de forma dinámica.
- Emplea técnicas para dificultar su detección de forma estática.
- Infecta los ficheros ejecutables del equipo afectado.
- Cifra los ficheros del equipo afectado.
- Cifra ficheros utilizando algoritmos de cifrado simétrico y asimétrico.
- Crea un mensaje de rescate en el escritorio del usuario.
- No requiere de conexión a Internet.
- Crea persistencia en el sistema.
Podéis consultar el documento completo a continuación:
Fundador y director de DerechodelaRed.