Zoom Zoom: „Dark Power“-Ransomware erpresst 10 Ziele in weniger als einem Monat

Eine aufstrebende Ransomware-Bande ist mit Elan auf die Bildfläche gestürmt und hat in weniger als einem Monat mindestens 10 Organisationen angegriffen.

Die Gruppe, die von Trellix-Forschern „Dark Power“ genannt wurde, ist in vielerlei Hinsicht wie jede andere Ransomware-Gruppe. Aber es hebt sich durch schiere Geschwindigkeit und mangelndes Fingerspitzengefühl von der Masse ab – und durch die Verwendung der Programmiersprache Nim.

„Wir haben sie Ende Februar zum ersten Mal in freier Wildbahn beobachtet“, bemerkt Duy Phuc Pham, einer der Autoren von a Thursday Blogbeitrag, der Dark Power profiliert. „Es ist also erst ein halber Monat vergangen, und schon sind 10 Opfer betroffen.“

Seltsam ist, dass es keinen Reim oder Grund dafür zu geben scheint, wen Dark Power ins Visier nimmt, sagten Trellix-Forscher. Die Gruppe hat ihre Körperschaft in Algerien, der Tschechischen Republik, Ägypten, Frankreich, Israel, Peru, der Türkei und den USA in den Sektoren Landwirtschaft, Bildung, Gesundheitswesen, IT und Fertigung erweitert.

Nim als Vorteil nutzen

Ein weiteres wichtiges Unterscheidungsmerkmal von Dark Power ist die Wahl der Programmiersprache.

„Wir sehen, dass es einen Trend gibt, bei dem Cyberkriminelle sich auf andere Programmiersprachen ausdehnen“, sagt Pham. Der Trend ist schnelle Verbreitung unter Bedrohungsakteuren. „Obwohl sie also die gleiche Art von Taktik anwenden, wird die Malware der Erkennung entgehen.“

Dark Power verwendet Nim, eine Hochsprache seine Schöpfer beschreiben so effizient, ausdrucksstark und elegant. Nim war „ursprünglich eine etwas obskure Sprache“, stellten die Autoren in ihrem Blogbeitrag fest, ist aber „in Bezug auf die Erstellung von Malware heute weit verbreitet. Malware-Ersteller verwenden es, da es einfach zu bedienen ist und plattformübergreifende Funktionen bietet.“

Es macht es auch für die Guten schwieriger, mitzuhalten. „Die Kosten für die kontinuierliche Aufrechterhaltung des Wissens auf der verteidigenden Seite sind höher als die erforderliche Fähigkeit des Angreifers, eine neue Sprache zu lernen“, so Trellix.

Was wir sonst noch über dunkle Macht wissen

Die Angriffe selbst folgen einem ausgetretenen Ransomware-Playbook: Social-Engineering-Opfer per E-Mail, Herunterladen und Verschlüsseln von Dateien, Forderung von Lösegeldern und mehrfache Erpressung von Opfern, unabhängig davon, ob sie bezahlen.

Auch die Gang mischt sich ein klassische Doppelerpressung. Noch bevor die Opfer wissen, dass sie verletzt wurden, „hat Dark Power möglicherweise bereits ihre sensiblen Daten gesammelt“, erklärt Pham. „Und dann verwenden sie es für das zweite Lösegeld. Dieses Mal sagen sie, dass wir die Informationen öffentlich machen oder im Dark Web verkaufen, wenn Sie nicht zahlen.“

Wie immer ist es jedoch ein Catch-22, denn „es gibt keine Garantie dafür, dass es keine Konsequenzen gibt, wenn Sie das Lösegeld zahlen.“

Daher müssen Unternehmen über Richtlinien und Verfahren verfügen, um sich selbst zu schützen, einschließlich der Fähigkeit, Nim-Binärdateien zu erkennen.

„Sie können versuchen, robuste Sicherungs- und Wiederherstellungssysteme einzurichten“, sagt Pham. „Das ist meiner Meinung nach das Wichtigste. Wir schlagen auch vor, dass Organisationen einen sehr präzisen und sehr wirkungsvollen Plan zur Reaktion auf Vorfälle haben, bevor all dies passieren kann. Damit können sie die Auswirkungen des Angriffs verringern, falls er auftritt.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month