Zoom Zoom: программа-вымогатель Dark Power вымогает 10 целей менее чем за месяц

Зарождающаяся банда вымогателей энергично ворвалась на сцену, взломав как минимум 10 организаций менее чем за месяц.

Группа, которую исследователи Trellix назвали «Темная сила», во многом похожа на любую другую группу вымогателей. Но он выделяется из общей массы благодаря своей скорости и бестактности, а также использованию языка программирования Nim.

«Впервые мы наблюдали их в дикой природе где-то в конце февраля», — отмечает Дуй Фук Фам, один из авторов статьи, опубликованной в четверг. сообщение в блоге, посвященное Темной силе. «Итак, прошло всего полмесяца, а пострадавших уже 10 человек».

Что странно, так это то, что, по словам исследователей Trellix, кажется, нет никакой логики или причины относительно того, на кого нацелена Темная сила. Группа увеличила количество своих сотрудников в Алжире, Чехии, Египте, Франции, Израиле, Перу, Турции и США в секторах сельского хозяйства, образования, здравоохранения, информационных технологий и производства.

Использование Ним в качестве преимущества

Еще одним важным отличием Dark Power является выбор языка программирования.

«Мы видим тенденцию, когда киберпреступники распространяются на другие языки программирования, — говорит Фам. Тенденция быстрое распространение среди субъектов угроз. «Поэтому, несмотря на то, что они используют ту же тактику, вредоносное ПО ускользнет от обнаружения».

Dark Power использует Ним, язык высокого уровня его создатели описывают столь же эффективным, выразительным и элегантным. Ним изначально был «немного малоизвестным языком», отмечают авторы в своем блоге, но «теперь он более распространен в отношении создания вредоносных программ. Создатели вредоносных программ используют его, поскольку он прост в использовании и обладает кроссплатформенными возможностями».

Это также мешает хорошим парням не отставать. «Стоимость непрерывного поддержания знаний со стороны защищающейся стороны выше, чем необходимые навыки атакующей стороны для изучения нового языка», — утверждает Trellix.

Что еще мы знаем о темной силе

Сами атаки следуют хорошо зарекомендовавшему себя сборник программ-вымогателей: жертвы социальной инженерии через электронную почту, загрузку и шифрование файлов, требование выкупа и многократное вымогательство жертв независимо от того, платят ли они.

Банда также занимается классическое двойное вымогательство. Еще до того, как жертвы узнают, что их взломали, Dark Power «могла уже собрать их конфиденциальные данные», объясняет Фам. «А потом они используют его для второго выкупа. На этот раз они говорят, что если вы не собираетесь платить, мы обнародуем информацию или продадим ее в даркнете».

Как всегда, это Уловка-22, потому что «нет гарантии, что если вы заплатите выкуп, не будет никаких последствий».

Таким образом, предприятия должны иметь политики и процедуры, чтобы защитить себя, включая возможность обнаружения двоичных файлов Nim.

«Они могут попытаться установить надежные системы резервного копирования и восстановления», — говорит Фам. «Это, я думаю, самое главное. Мы также предлагаем организациям иметь очень точный и очень мощный план реагирования на инциденты, прежде чем все это может произойти. При этом они могут уменьшить воздействие атаки, если она произойдет».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month