Zoom Zoom: "Dark Power" Ransomware puristaa 10 kohdetta alle kuukaudessa

Syntyvä kiristyshaittaohjelmien jengi on ryntänyt paikalle tarmokkaasti ja murtanut vähintään 10 organisaatiota alle kuukaudessa.

Ryhmä, jolle Trellixin tutkijat ovat antaneet nimen "Dark Power", on useimmissa tapauksissa kuin mikä tahansa muu kiristysohjelmaryhmä. Mutta se erottuu pakkauksesta pelkän nopeuden ja tahdikkuuden puutteen – ja sen Nim-ohjelmointikielen käytön – vuoksi.

"Havaitsimme niitä ensimmäisen kerran luonnossa helmikuun lopulla", toteaa Duy Phuc Pham, yksi torstai-julkaisun kirjoittajista. blogikirjoitus, joka profiloi Dark Poweria. "Joten siitä on vain puoli kuukautta, ja jo 10 uhria on kärsinyt."

Outoa on, että ei näytä olevan riimiä tai syytä sille, ketä Dark Power kohdistaa, Trellixin tutkijat sanoivat. Ryhmä on lisännyt henkilömääräänsä Algeriassa, Tšekissä, Egyptissä, Ranskassa, Israelissa, Perussa, Turkissa ja Yhdysvalloissa maatalouden, koulutuksen, terveydenhuollon, IT- ja valmistussektoreilla.

Nimin käyttäminen etuna

Toinen merkittävä tapa, jolla Dark Power erottuu, on sen ohjelmointikielen valinta.

"Näemme, että on olemassa trendi, jossa kyberrikolliset leviävät muille ohjelmointikielille", Pham sanoo. Trendi on leviävät nopeasti uhkatekijöiden keskuudessa. "Joten, vaikka he käyttävät samanlaista taktiikkaa, haittaohjelmat välttävät havaitsemisen."

Dark Power käyttää Nim-kieltä, korkean tason kieltä sen luojat kuvailevat yhtä tehokas, ilmeikäs ja tyylikäs. Nim oli "alun perin vähän epäselvä kieli", kirjoittajat totesivat blogikirjoituksessaan, mutta "on nyt yleisempää haittaohjelmien luomisessa. Haittaohjelmien tekijät käyttävät sitä, koska se on helppokäyttöinen ja siinä on monialustaisia ​​ominaisuuksia."

Se vaikeuttaa myös hyvien miesten pysymistä perässä. "Puolustavan puolen tiedon jatkuvan ylläpidon kustannukset ovat korkeammat kuin hyökkääjän uuden kielen oppimiseen vaadittava taito", Trellix sanoo.

Mitä muuta tiedämme Dark Powerista

Itse hyökkäykset seuraavat hyvin kulunutta ransomware pelikirja: Sosiaalisen suunnittelun uhrit sähköpostitse, tiedostojen lataaminen ja salaaminen, lunnaiden vaatiminen ja uhrien kiristäminen useita kertoja riippumatta siitä, maksavatko he.

Myös porukka on mukana klassinen kaksoiskiristys. Jo ennen kuin uhrit tietävät, että heidät on rikottu, Dark Power "on saattanut jo kerätä heidän arkaluontoisia tietojaan", Pham selittää. "Ja sitten he käyttävät sitä toiseen lunnaisiin. Tällä kertaa he sanovat, että jos et aio maksaa, teemme tiedot julkisiksi tai myymme ne Dark Webissä.

Kuten aina, se on kuitenkin Catch-22, koska "ei ole takeita siitä, että jos maksat lunnaat, siitä ei ole seurauksia."

Siten yrityksillä on oltava käytäntöjä ja menettelyjä suojatakseen itsensä, mukaan lukien kyky havaita Nim-binäärit.

"He voivat yrittää luoda vankkoja varmuuskopiointi- ja palautusjärjestelmiä", Pham sanoo. "Tämä on mielestäni tärkein asia. Suosittelemme myös, että organisaatioilla on erittäin tarkka, erittäin tehokas tapaussuunnitelma, ennen kuin tämä kaikki voi tapahtua. Sen avulla he voivat vähentää hyökkäyksen vaikutusta, jos se tapahtuu."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month