A Vice Society (DEV-0832) egy zsarolásra összpontosító hackercsoport, amelyről 2021 májusától kezdődően érhetők el információk. Műveleteiket a darkweben értékesített zsarolóprogramokkal hajtják végre.
2022 decemberében a SentinelOne beszámolt arról, hogy a csoport egy PolyVice nevű zsarolóvírus változat alkalmazásába kezdett, amely hibrid titkosítási sémát alkalmaz, vagyis aszimmetrikus és szimmetrikus titkosítást kombinál a fájlok zárolására.
A PowerShell szkript azonosítja a rendszerben lévő csatlakoztatott meghajtókat, majd rekurzívan végigkutatja az egyes gyökérkönyvtárakat, hogy megkönnyítse az adatok HTTP-n keresztüli kiszivárogtatását.
Az eszköz mindemellett kiszűri a rendszerfájlokat, a biztonsági mentéseket és a webböngészőkre mutató mappákat, valamint a Symantec, az ESET és a Sophos biztonsági megoldásait. A kiberbiztonsági cég szerint az eszköz általános kialakítása „professzionális szintű kódolást” mutat.
A fenyegetési szereplők az adatszivárogtatások során egyre gyakrabban alkalmaznak beépített legitim szoftverkomponenseket (Living-off-the-Land technika), mint például a PowerShell ─ jegyzi meg az eset kapcsán a Palo Alto Unit 42 kutatója, Ryan Chapman.
