Zoom Zoom: Ransomware 'Dark Power' extorque 10 alvos em menos de um mês

Uma nascente gangue de ransomware entrou em cena com vigor, invadindo pelo menos 10 organizações em menos de um mês.

O grupo, que os pesquisadores da Trellix chamaram de “Dark Power”, é em muitos aspectos como qualquer outro grupo de ransomware. Mas ele se separa do pacote devido à velocidade e falta de tato - e ao uso da linguagem de programação Nim.

“Nós os observamos pela primeira vez na natureza por volta do final de fevereiro”, observa Duy Phuc Pham, um dos autores de um artigo publicado na quinta-feira. postagem de blog com perfil de Dark Power. “Então, faz apenas meio mês e 10 vítimas já foram afetadas.”

O que é estranho é que parece não haver rima ou razão sobre quem é o alvo do Dark Power, disseram os pesquisadores da Trellix. O grupo aumentou sua contagem de corpos na Argélia, República Tcheca, Egito, França, Israel, Peru, Turquia e Estados Unidos, nos setores agrícola, educacional, de saúde, TI e manufatura.

Usando Nim como uma Vantagem

Outra maneira significativa pela qual o Dark Power se distingue é na escolha da linguagem de programação.

“Vemos que há uma tendência em que os cibercriminosos estão se estendendo para outras linguagens de programação”, diz Pham. A tendência é rápida disseminação entre os agentes de ameaças. “Então, mesmo que eles estejam usando o mesmo tipo de tática, o malware escapará da detecção.”

Dark Power utiliza Nim, uma linguagem de alto nível seus criadores descrevem tão eficiente, expressivo e elegante. Nim era “uma linguagem um tanto obscura originalmente”, observaram os autores em sua postagem no blog, mas “agora é mais prevalente em relação à criação de malware. Os criadores de malware o usam porque é fácil de usar e possui recursos de plataforma cruzada.”

Também torna mais difícil para os mocinhos acompanharem. “O custo da manutenção contínua do conhecimento do lado da defesa é maior do que a habilidade necessária do atacante para aprender um novo idioma”, de acordo com Trellix.

O que mais sabemos sobre o poder das trevas

Os próprios ataques seguem um padrão bem manual de ransomware: vítimas de engenharia social por e-mail, baixando e criptografando arquivos, exigindo resgates e extorquindo vítimas várias vezes, independentemente de pagarem.

A quadrilha também se envolve em dupla extorsão clássica. Mesmo antes que as vítimas saibam que foram violadas, o Dark Power “pode já ter coletado seus dados confidenciais”, explica Pham. “E então eles usam para o segundo resgate. Desta vez, eles dizem que, se você não pagar, vamos tornar a informação pública ou vendê-la na Dark Web”.

Como sempre, é um Catch-22, porque “não há garantia de que, se você pagar o resgate, não haverá consequências”.

Assim, as empresas precisam ter políticas e procedimentos para se proteger, incluindo a capacidade de detectar binários Nim.

“Eles podem tentar estabelecer sistemas robustos de backup e recuperação”, diz Pham. “Isto é, penso eu, o mais importante. Também sugerimos que as organizações tenham um plano de resposta a incidentes muito preciso e poderoso antes que tudo isso aconteça. Com isso, eles podem reduzir o impacto do ataque caso ele ocorra.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month