Publicado el nuevo informe de código dañino ID-09/22 usado por Vice Society

Fecha de publicación: 31/08/2022

• Ya está disponible en el portal del CCN-CERT el informe sobre código dañino usado por Vice Society para cifrar equipos.

El CCN-CERT, del Centro Criptológico Nacional (CCN), ha publicado en su portal el nuevo informe de código dañino ID-09/22 “Vice Society – Neshta”, que recoge el análisis de una muestra de este tipo de ransomware.

Neshta es un código dañino del tipo “file infector” con capacidad de autorreplicarse en otros ejecutables del sistema. El código que se inyecta se ejecuta cada vez que se abre un archivo “exe” y se copia en otros ficheros del mismo tipo. En otros casos, también pueden añadir algún código dañino que puede ser utilizado para otros fines como el robo de datos o credenciales.

VICE SOCIETY, también conocido como VICE SPIDER, es un actor malicioso que utiliza diferentes familias de ransomware como Zeppelin, Spider, Death Kitty para versión de Linux y Hive como RaaS (Ransomware as a service) para cifrar los archivos de sus víctimas. El vector de entrada que suele utilizar son las credenciales legítimas comprometidas de servicios de VPN o RDP para así acceder a la red de las víctimas.

• Es compatible con sistemas Windows de 32 y 64 bits.
• Resuelve APIs de forma dinámica.
• Emplea técnicas para dificultar su detección de forma estática.
• Infecta los ficheros ejecutables del equipo afectado.
• Cifra los ficheros del equipo afectado.
• Cifra ficheros utilizando algoritmos de cifrado simétrico y asimétrico.
• Crea un mensaje de rescate en el escritorio del usuario.
• No requiere de conexión a Internet.
• Crea persistencia en el sistema.

Más información:

• ID-09/22 Vice Society - Neshta

Atentamente,

Equipo CCN-CERT