Zoom Zoom: 'Dark Power' Ransomware afpresser 10 mål på mindre end en måned

En gryende ransomware-bande er braget ind på scenen med kraft og brudt mindst 10 organisationer på mindre end en måneds tid.

Gruppen, som Trellix-forskere har kaldt "Dark Power", er på de fleste måder som enhver anden ransomware-gruppe. Men den adskiller sig fra pakken på grund af ren hastighed og mangel på takt - og dens brug af programmeringssproget Nim.

"Vi observerede dem først i naturen omkring slutningen af ​​februar," bemærker Duy Phuc Pham, en af ​​forfatterne til en torsdag blogindlæg, der profilerer Dark Power. "Så der er kun gået en halv måned, og allerede 10 ofre er berørt."

Det mærkelige er, at der tilsyneladende ikke er nogen rim eller grund til, hvem Dark Power retter sig mod, sagde Trellix-forskere. Gruppen har tilføjet sit kropstal i Algeriet, Tjekkiet, Egypten, Frankrig, Israel, Peru, Tyrkiet og USA på tværs af landbrugs-, uddannelses-, sundheds-, IT- og fremstillingssektoren.

Brug af Nim som en fordel

En anden væsentlig måde, Dark Power adskiller sig på, er i sit valg af programmeringssprog.

"Vi ser, at der er en tendens, hvor cyberkriminelle udvider til andre programmeringssprog," siger Pham. Tendensen er hurtig spredning blandt trusselsaktører. "Så selvom de bruger den samme slags taktik, vil malwaren unddrage sig opdagelse."

Dark Power bruger Nim, et sprog på højt niveau dens skabere beskriver som effektiv, udtryksfuld og elegant. Nim var "oprindeligt lidt af et obskurt sprog," bemærkede forfatterne i deres blogindlæg, men "er nu mere udbredt med hensyn til oprettelse af malware. Skabere af malware bruger det, da det er nemt at bruge, og det har funktioner på tværs af platforme."

Det gør det også sværere for de gode fyre at følge med. "Omkostningerne ved den kontinuerlige vedligeholdelse af viden fra den forsvarende side er højere end angriberens nødvendige færdigheder til at lære et nyt sprog," ifølge Trellix.

Hvad vi ellers ved om mørk magt

Selve angrebene følger en slidt ransomware spillebog: Socialtekniske ofre via e-mail, download og kryptering af filer, krav om løsepenge og afpresning af ofre flere gange, uanset om de betaler.

Banden engagerer sig også i klassisk dobbelt afpresning. Selv før ofrene ved, at de er blevet brudt, har Dark Power "måske allerede indsamlet deres følsomme data," forklarer Pham. "Og så bruger de det til den anden løsesum. Denne gang siger de, at hvis du ikke vil betale, vil vi offentliggøre informationen eller sælge den på Dark Web."

Som altid er det dog en Catch-22, fordi "der er ingen garanti for, at hvis du betaler løsesummen, vil der ikke være nogen konsekvenser."

Derfor skal virksomheder have politikker og procedurer på plads for at beskytte sig selv, herunder evnen til at opdage Nim-binære filer.

"De kan forsøge at etablere robuste backup- og gendannelsessystemer," siger Pham. "Det her er, synes jeg, det vigtigste. Vi foreslår også, at organisationer har en meget præcis, meget kraftfuld hændelsesberedskabsplan på plads, før alt dette kan ske. Med det kan de reducere virkningen af ​​angrebet, hvis det opstår."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month