Zoom Zoom: 'Dark Power' Ransomware presser ut 10 mål på mindre enn en måned

En gryende løsepenge-gjeng har brutt inn på scenen med kraft og brutt minst 10 organisasjoner på mindre enn en måneds tid.

Gruppen, som Trellix-forskere har kalt «Dark Power», er på de fleste måter som enhver annen løsepengevaregruppe. Men den skiller seg fra pakken på grunn av ren hastighet og mangel på takt – og bruken av programmeringsspråket Nim.

"Vi observerte dem først i naturen rundt slutten av februar," bemerker Duy Phuc Pham, en av forfatterne av en torsdag blogginnlegg som profilerer Dark Power. "Så det har bare gått en halv måned, og allerede 10 ofre er berørt."

Det som er rart er at det ikke ser ut til å være noe rim eller grunn til hvem Dark Power retter seg mot, sa Trellix-forskere. Gruppen har lagt til kroppsantallet i Algerie, Tsjekkia, Egypt, Frankrike, Israel, Peru, Tyrkia og USA, på tvers av landbruks-, utdannings-, helse-, IT- og produksjonssektorene.

Bruker Nim som en fordel

En annen viktig måte Dark Power utmerker seg på er i valget av programmeringsspråk.

"Vi ser at det er en trend der nettkriminelle utvider seg til andre programmeringsspråk," sier Pham. Trenden er rask spredning blant trusselaktører. "Så selv om de bruker samme type taktikk, vil skadelig programvare unngå å bli oppdaget."

Dark Power bruker Nim, et språk på høyt nivå skaperne beskriver som effektiv, uttrykksfull og elegant. Nim var «opprinnelig et litt uklart språk», bemerket forfatterne i blogginnlegget sitt, men «er nå mer utbredt når det gjelder oppretting av skadelig programvare. Skapere av skadelig programvare bruker den siden den er enkel å bruke og den har funksjoner på tvers av plattformer."

Det gjør det også vanskeligere for de flinke å henge med. "Kostnaden for kontinuerlig vedlikehold av kunnskap fra forsvarssiden er høyere enn angriperens nødvendige ferdigheter for å lære et nytt språk," ifølge Trellix.

Hva annet vi vet om Dark Power

Selve angrepene følger en godt slitt ransomware-spillebok: Sosialtekniske ofre via e-post, nedlasting og kryptering av filer, krevende løsepenger og utpressing av ofre flere ganger uavhengig av om de betaler.

Gjengen engasjerer seg også klassisk dobbel utpressing. Selv før ofrene vet at de har blitt brutt, kan Dark Power "alt ha samlet inn sensitive data," forklarer Pham. «Og så bruker de det til den andre løsepengene. Denne gangen sier de at hvis du ikke skal betale, kommer vi til å offentliggjøre informasjonen eller selge den på Dark Web.»

Som alltid er det imidlertid en Catch-22, fordi "det er ingen garanti for at hvis du betaler løsepenger, vil det ikke få noen konsekvenser."

Derfor må bedrifter ha retningslinjer og prosedyrer på plass for å beskytte seg selv, inkludert muligheten til å oppdage Nim-binærfiler.

"De kan prøve å etablere robuste sikkerhetskopierings- og gjenopprettingssystemer," sier Pham. – Dette tror jeg er det viktigste. Vi foreslår også at organisasjoner har en veldig presis, veldig kraftig hendelsesresponsplan på plass før alt dette kan skje. Med det kan de redusere virkningen av angrepet hvis det skjer.»

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month