Zoom Zoom: Ransomware «Dark Power» εκβιάζει 10 στόχους σε λιγότερο από ένα μήνα

Μια εκκολαπτόμενη συμμορία ransomware έχει ξεσπάσει στη σκηνή με σθένος, παραβιάζοντας τουλάχιστον 10 οργανισμούς σε λιγότερο από ένα μήνα.

Η ομάδα, την οποία οι ερευνητές του Trellix ονόμασαν "Dark Power", είναι από τους περισσότερους τρόπους όπως κάθε άλλη ομάδα ransomware. Αλλά διαχωρίζεται από το πακέτο λόγω της απόλυτης ταχύτητας και της έλλειψης διακριτικότητας — και της χρήσης της γλώσσας προγραμματισμού Nim.

«Τους παρατηρήσαμε για πρώτη φορά στη φύση γύρω στα τέλη Φεβρουαρίου», σημειώνει ο Duy Phuc Pham, ένας από τους συγγραφείς μιας Πέμπτης. ανάρτηση ιστολογίου με προφίλ Dark Power. «Έτσι έχει περάσει μόλις μισός μήνας και έχουν ήδη επηρεαστεί 10 θύματα».

Αυτό που είναι περίεργο είναι ότι δεν φαίνεται να υπάρχει ομοιοκαταληξία ή λόγος για το ποιον στοχεύει η Dark Power, είπαν οι ερευνητές της Trellix. Ο όμιλος έχει προσθέσει στον αριθμό των σωμάτων του στην Αλγερία, την Τσεχική Δημοκρατία, την Αίγυπτο, τη Γαλλία, το Ισραήλ, το Περού, την Τουρκία και τις ΗΠΑ, στους τομείς της γεωργίας, της εκπαίδευσης, της υγειονομικής περίθαλψης, της πληροφορικής και της μεταποίησης.

Χρήση του Nim ως πλεονέκτημα

Ένας άλλος σημαντικός τρόπος με τον οποίο διακρίνεται η Dark Power είναι η επιλογή της γλώσσας προγραμματισμού.

«Βλέπουμε ότι υπάρχει μια τάση όπου οι εγκληματίες του κυβερνοχώρου επεκτείνονται και σε άλλες γλώσσες προγραμματισμού», λέει ο Pham. Η τάση είναι που εξαπλώνεται γρήγορα μεταξύ των παραγόντων απειλών. "Έτσι, παρόλο που χρησιμοποιούν το ίδιο είδος τακτικής, το κακόβουλο λογισμικό θα αποφύγει τον εντοπισμό."

Το Dark Power χρησιμοποιεί τη Nim, μια γλώσσα υψηλού επιπέδου περιγράφουν οι δημιουργοί του τόσο αποτελεσματικό, εκφραστικό και κομψό. Η Nim ήταν αρχικά «λίγο σκοτεινή γλώσσα», σημείωσαν οι συγγραφείς στην ανάρτησή τους στο ιστολόγιό τους, αλλά «είναι πλέον πιο διαδεδομένη όσον αφορά τη δημιουργία κακόβουλου λογισμικού. Οι δημιουργοί κακόβουλου λογισμικού το χρησιμοποιούν, καθώς είναι εύκολο στη χρήση και έχει δυνατότητες πολλαπλών πλατφορμών».

Καθιστά επίσης πιο δύσκολο για τα καλά παιδιά να συμβαδίσουν. «Το κόστος της συνεχούς διατήρησης της γνώσης από την αμυνόμενη πλευρά είναι υψηλότερο από την απαιτούμενη ικανότητα του επιτιθέμενου για να μάθει μια νέα γλώσσα», σύμφωνα με την Trellix.

Τι άλλο ξέρουμε για τη σκοτεινή δύναμη

Οι ίδιες οι επιθέσεις ακολουθούν μια φθαρμένη ransomware playbook: Θύματα κοινωνικής μηχανικής μέσω email, λήψη και κρυπτογράφηση αρχείων, απαίτηση λύτρων και εκβιασμοί θυμάτων πολλές φορές, ανεξάρτητα από το αν πληρώνουν.

Η συμμορία εμπλέκεται επίσης κλασικός διπλός εκβιασμός. Ακόμη και πριν τα θύματα μάθουν ότι έχουν παραβιαστεί, η Dark Power «μπορεί να έχει ήδη συλλέξει τα ευαίσθητα δεδομένα τους», εξηγεί ο Pham. «Και μετά το χρησιμοποιούν για τα δεύτερα λύτρα. Αυτή τη φορά λένε ότι εάν δεν πρόκειται να πληρώσετε, θα δημοσιοποιήσουμε τις πληροφορίες ή θα τις πουλήσουμε στο Dark Web».

Όπως πάντα, είναι ένα Catch-22, ωστόσο, επειδή «δεν υπάρχει καμία εγγύηση ότι εάν πληρώσετε τα λύτρα, δεν θα υπάρξουν συνέπειες».

Έτσι, οι επιχειρήσεις πρέπει να έχουν πολιτικές και διαδικασίες για την προστασία τους, συμπεριλαμβανομένης της ικανότητας εντοπισμού δυαδικών αρχείων Nim.

«Μπορούν να προσπαθήσουν να δημιουργήσουν ισχυρά συστήματα δημιουργίας αντιγράφων ασφαλείας και ανάκτησης», λέει ο Pham. «Αυτό είναι, νομίζω, το πιο σημαντικό πράγμα. Προτείνουμε επίσης στους οργανισμούς να έχουν ένα πολύ ακριβές, πολύ ισχυρό σχέδιο αντιμετώπισης περιστατικών πριν συμβούν όλα αυτά. Με αυτό, μπορούν να μειώσουν τον αντίκτυπο της επίθεσης εάν συμβεί».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month