Zoom Zoom: oprogramowanie ransomware „Dark Power” wymusza 10 celów w mniej niż miesiąc

Rodzący się gang ransomware wkroczył na scenę z wigorem, włamując się do co najmniej 10 organizacji w mniej niż miesiąc.

Grupa, którą badacze Trellix nazwali „Dark Power”, pod wieloma względami przypomina każdą inną grupę ransomware. Ale odróżnia się od reszty ze względu na samą szybkość i brak taktu — oraz użycie języka programowania Nim.

„Po raz pierwszy zaobserwowaliśmy je na wolności pod koniec lutego” — zauważa Duy Phuc Pham, jeden z autorów czwartkowego wpis na blogu profilujący Dark Power. „Minęło więc tylko pół miesiąca, a już 10 ofiar zostało dotkniętych”.

Dziwne jest to, że wydaje się, że nie ma rymów ani powodów, dla których Dark Power jest celem, powiedzieli badacze Trellix. Grupa zwiększyła liczbę ofiar w Algierii, Czechach, Egipcie, Francji, Izraelu, Peru, Turcji i Stanach Zjednoczonych w sektorach rolnictwa, edukacji, opieki zdrowotnej, IT i produkcji.

Używanie Nim jako przewagi

Innym znaczącym sposobem, w jaki Dark Power się wyróżnia, jest wybór języka programowania.

„Widzimy, że istnieje trend polegający na tym, że cyberprzestępcy sięgają po inne języki programowania” — mówi Pham. Tendencja jest szybko rozprzestrzenia się wśród cyberprzestępców. „Więc nawet jeśli używają tej samej taktyki, złośliwe oprogramowanie uniknie wykrycia”.

Dark Power wykorzystuje Nim, język wysokiego poziomu opisują jej twórcy tak wydajne, wyraziste i eleganckie. Nim był „początkowo trochę niejasnym językiem”, zauważyli autorzy w swoim poście na blogu, ale „jest teraz bardziej rozpowszechniony w odniesieniu do tworzenia złośliwego oprogramowania. Twórcy złośliwego oprogramowania używają go, ponieważ jest łatwy w użyciu i ma możliwości międzyplatformowe”.

Utrudnia to również dobrym facetom nadążanie. „Koszt ciągłego utrzymywania wiedzy po stronie broniącej się jest wyższy niż umiejętność nauczenia się nowego języka przez atakującego” — twierdzi Trellix.

Co jeszcze wiemy o ciemnej mocy

Same ataki następują po dobrze zużytym poradnik ransomware: Ofiary socjotechniczne za pośrednictwem poczty elektronicznej, pobierania i szyfrowania plików, żądania okupu i wielokrotnego wymuszania na ofiarach niezależnie od tego, czy zapłacą.

Gang angażuje się również w klasyczne podwójne wymuszenie. Nawet zanim ofiary dowiedzą się, że zostały naruszone, Dark Power „mógł już zebrać ich poufne dane”, wyjaśnia Pham. „A potem używają go jako drugiego okupu. Tym razem mówią, że jeśli nie zamierzasz zapłacić, upublicznimy informacje lub sprzedamy je w Dark Web.

Jak zawsze jest to paragraf 22, ponieważ „nie ma gwarancji, że jeśli zapłacisz okup, nie będzie żadnych konsekwencji”.

W związku z tym przedsiębiorstwa muszą posiadać zasady i procedury, aby się chronić, w tym możliwość wykrywania plików binarnych Nim.

„Mogą spróbować ustanowić solidne systemy tworzenia kopii zapasowych i odzyskiwania” — mówi Pham. „To jest, jak sądzę, najważniejsze. Sugerujemy również, aby organizacje dysponowały bardzo precyzyjnym i potężnym planem reagowania na incydenty, zanim to wszystko się wydarzy. Dzięki temu mogą zmniejszyć wpływ ataku, jeśli do niego dojdzie”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month