Zoom Zoom: 'Dark Power'-ransomware dwingt 10 doelwitten af ​​in minder dan een maand

Een ontluikende ransomware-bende is krachtig ten tonele verschenen en heeft in minder dan een maand tijd minstens 10 organisaties gehackt.

De groep, die Trellix-onderzoekers "Dark Power" hebben genoemd, lijkt in de meeste opzichten op elke andere ransomware-groep. Maar het onderscheidt zich van het peloton door pure snelheid en gebrek aan tact - en het gebruik van de Nim-programmeertaal.

"We hebben ze eind februari voor het eerst in het wild waargenomen", zegt Duy Phuc Pham, een van de auteurs van een donderdag blogpost profilering Dark Power. "Dus het is nog maar een halve maand geleden en er zijn al 10 slachtoffers getroffen."

Wat vreemd is, is dat er geen rijm of reden lijkt te zijn op wie Dark Power zich richt, aldus Trellix-onderzoekers. De groep heeft zijn aantal lichamen uitgebreid in Algerije, Tsjechië, Egypte, Frankrijk, Israël, Peru, Turkije en de VS, in de sectoren landbouw, onderwijs, gezondheidszorg, IT en productie.

Nim als een voordeel gebruiken

Een andere belangrijke manier waarop Dark Power zich onderscheidt, is de keuze van de programmeertaal.

"We zien dat er een trend is waarbij cybercriminelen uitbreiden naar andere programmeertalen", zegt Pham. De tendens is snelle verspreiding onder bedreigingsactoren. "Dus ook al gebruiken ze dezelfde soort tactieken, de malware zal detectie ontwijken."

Dark Power maakt gebruik van Nim, een taal op hoog niveau de makers beschrijven als efficiënt, expressief en elegant. Nim was "oorspronkelijk een beetje een obscure taal", merkten de auteurs op in hun blogpost, maar "komt nu vaker voor met betrekking tot het maken van malware. Makers van malware gebruiken het omdat het gebruiksvriendelijk is en platformonafhankelijke mogelijkheden biedt.”

Het maakt het ook moeilijker voor de goeden om bij te blijven. "De kosten van het continu onderhouden van kennis van de verdedigende kant zijn hoger dan de vereiste vaardigheid van de aanvaller om een ​​nieuwe taal te leren", aldus Trellix.

Wat we nog meer weten over Dark Power

De aanvallen zelf volgen een versleten ransomware-speelboek: Slachtoffers van social engineering via e-mail, bestanden downloaden en versleutelen, losgeld eisen en slachtoffers meerdere keren afpersen, ongeacht of ze betalen.

De bende doet ook mee klassieke dubbele afpersing. Zelfs voordat de slachtoffers weten dat ze zijn geschonden, "heeft Dark Power hun gevoelige gegevens mogelijk al verzameld", legt Pham uit. 'En dan gebruiken ze het voor het tweede losgeld. Deze keer zeggen ze dat als je niet gaat betalen, we de informatie openbaar gaan maken of verkopen op het Dark Web.”

Zoals altijd is het echter een Catch-22, want "er is geen garantie dat als u het losgeld betaalt, er geen gevolgen zullen zijn."

Bedrijven moeten dus beschikken over beleid en procedures om zichzelf te beschermen, inclusief de mogelijkheid om Nim-binaire bestanden te detecteren.

"Ze kunnen proberen robuuste back-up- en herstelsystemen op te zetten", zegt Pham. “Dit is, denk ik, het allerbelangrijkste. We stellen ook voor dat organisaties een zeer nauwkeurig, zeer krachtig incidentresponsplan hebben voordat dit allemaal kan gebeuren. Daarmee kunnen ze de impact van de aanval verminderen als die plaatsvindt.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month