Zoom Zoom: A „Dark Power” Ransomware 10 célpontot csal ki kevesebb mint egy hónap alatt

Egy születőben lévő ransomware banda lendületesen berobbant a helyszínre, kevesebb mint egy hónap leforgása alatt legalább 10 szervezetet feltörve.

A csoport, amelyet a Trellix kutatói „Dark Power”-nek neveztek el, a legtöbb tekintetben olyan, mint bármely más ransomware csoport. De elválik a csomagtól a puszta sebesség és a tapintat hiánya – és a Nim programozási nyelv használata miatt.

„Először február végén figyeltük meg őket a vadonban” – jegyzi meg Duy Phuc Pham, a csütörtöki nap egyik szerzője. blogbejegyzés, amely a Dark Power profilját tartalmazza. "Tehát csak fél hónap telt el, és már 10 áldozat érintett."

A Trellix kutatói szerint az a furcsa, hogy úgy tűnik, nincs rím vagy ok arra vonatkozóan, hogy kit céloz a Dark Power. A csoport növelte létszámát Algériában, a Cseh Köztársaságban, Egyiptomban, Franciaországban, Izraelben, Peruban, Törökországban és az Egyesült Államokban a mezőgazdasági, oktatási, egészségügyi, informatikai és feldolgozóipari ágazatokban.

A Nim használata előnyként

A Dark Power másik jelentős módja a programozási nyelv megválasztása.

„Azt látjuk, hogy van egy olyan tendencia, hogy a kiberbűnözők más programozási nyelvekre is kiterjednek” – mondja Pham. A trend az gyorsan terjed a fenyegetés szereplői között. "Tehát annak ellenére, hogy ugyanazt a taktikát alkalmazzák, a rosszindulatú program elkerüli az észlelést."

A Dark Power a Nim-et, egy magas szintű nyelvet használja alkotói írják le olyan hatékony, kifejező és elegáns. A nim „eredetileg egy kicsit homályos nyelvezet volt” – jegyezték meg a szerzők blogbejegyzésükben, de „ma már elterjedtebb a rosszindulatú programok létrehozása terén. A rosszindulatú programok készítői használják, mivel könnyen használható, és több platformra is képes.”

Ez a jófiúk számára is megnehezíti, hogy lépést tartsanak. „A védekező oldalról történő folyamatos tudásfenntartás ára magasabb, mint a támadónak egy új nyelv elsajátításához szükséges készsége” – állítja Trellix.

Mit tudunk még a sötét erőről

Maguk a támadások egy jól megviselt nyomot követnek ransomware játékkönyv: Társadalmi tervezés áldozatai e-mailben, fájlok letöltése és titkosítása, váltságdíj követelése és az áldozatok többszöri zsarolása, függetlenül attól, hogy fizetnek-e.

A banda is bekapcsolódik klasszikus kettős zsarolás. Még mielőtt az áldozatok megtudták volna, hogy megsértették őket, a Dark Power „lehet, hogy már összegyűjtötte érzékeny adataikat” – magyarázza Pham. – Aztán a második váltságdíjra használják fel. Ezúttal azt mondják, hogy ha nem fog fizetni, akkor nyilvánosságra hozzuk az információt, vagy eladjuk a Sötét Weben.”

Mint mindig, ez is egy Catch-22, mert „nincs garancia arra, hogy ha kifizeti a váltságdíjat, nem lesz következménye.”

Így a vállalkozásoknak szabályzatokkal és eljárásokkal kell rendelkezniük önmaguk védelmére, beleértve a Nim binárisok észlelésének képességét is.

„Megpróbálhatnak robusztus biztonsági mentési és helyreállítási rendszereket létrehozni” – mondja Pham. „Szerintem ez a legfontosabb. Azt is javasoljuk, hogy a szervezetek készítsenek egy nagyon pontos, nagyon hatékony incidensreagálási tervet, mielőtt mindez megtörténhet. Ezzel csökkenthetik a támadás hatását, ha bekövetkezik.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month