Zoom Zoom: izsiljevalska programska oprema 'Dark Power' izsiljuje 10 tarč v manj kot mesecu dni

Nastajajoča združba izsiljevalske programske opreme je z močjo vdrla na prizorišče in v manj kot mesecu dni vdrla v vsaj 10 organizacij.

Skupina, ki so jo raziskovalci Trellixa poimenovali »Dark Power«, je v večini načinov podobna kateri koli drugi skupini izsiljevalskih programov. Vendar se loči od skupine zaradi čiste hitrosti in pomanjkanja takta - ter uporabe programskega jezika Nim.

»Prvič smo jih opazili v naravi konec februarja,« ugotavlja Duy Phuc Pham, eden od avtorjev četrtkove blog post profiliranje Dark Power. "Torej je minilo le pol meseca, prizadetih pa je že 10 žrtev."

Nenavadno je, da se zdi, da ni rime ali razloga, na koga cilja Dark Power, so povedali raziskovalci Trellixa. Skupina je povečala svoje število trupel v Alžiriji, na Češkem, v Egiptu, Franciji, Izraelu, Peruju, Turčiji in ZDA, v kmetijskem, izobraževalnem, zdravstvenem, IT in proizvodnem sektorju.

Uporaba Nima kot prednosti

Drug pomemben način, po katerem se Dark Power razlikuje, je izbira programskega jezika.

"Vidimo, da obstaja trend, ko se kibernetski kriminalci širijo na druge programske jezike," pravi Pham. Trend je hitro širjenje med akterji groženj. "Torej, čeprav uporabljajo enako taktiko, se bo zlonamerna programska oprema izognila odkrivanju."

Dark Power uporablja Nim, jezik na visoki ravni opisujejo njegovi ustvarjalci učinkovito, ekspresivno in elegantno. Nim je bil »prvotno nekoliko nejasen jezik,« so zapisali avtorji v svojem blogu, vendar je »zdaj bolj razširjen v zvezi z ustvarjanjem zlonamerne programske opreme. Ustvarjalci zlonamerne programske opreme jo uporabljajo, ker je preprosta za uporabo in ima zmogljivosti za več platform.«

Dobrim fantom je tudi težje slediti. »Stroški nenehnega vzdrževanja znanja obrambne strani so višji od zahtevane spretnosti napadalca za učenje novega jezika,« pravi Trellix.

Kaj še vemo o temni moči

Sami napadi sledijo že obrabljenemu ransomware playbook: Socialni inženiring žrtev prek e-pošte, prenašanje in šifriranje datotek, zahtevanje odkupnine in večkratno izsiljevanje žrtev ne glede na to, ali plačajo.

Družba sodeluje tudi pri klasično dvojno izsiljevanje. Še preden žrtve izvejo, da so bile vdrte, je Dark Power »morda že zbrala njihove občutljive podatke,« pojasnjuje Pham. »In potem ga uporabijo za drugo odkupnino. Tokrat pravijo, da če ne boste plačali, bomo informacije objavili ali jih prodali na temnem spletu.«

Kot vedno gre za Catch-22, ker "ni nobenega zagotovila, da če plačate odkupnino, ne bo nobenih posledic."

Zato morajo imeti podjetja vzpostavljene politike in postopke za zaščito, vključno z zmožnostjo zaznavanja binarnih datotek Nim.

"Lahko poskušajo vzpostaviti robustne sisteme za varnostno kopiranje in obnovitev," pravi Pham. »Mislim, da je to najpomembnejša stvar. Predlagamo tudi, da imajo organizacije zelo natančen, zelo zmogljiv načrt odzivanja na incidente, preden se lahko vse to zgodi. S tem lahko zmanjšajo vpliv napada, če do njega pride.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month