Zoom Zoom: 'Dark Power' Ransomware pressar ut 10 mål på mindre än en månad

Ett begynnande ransomware-gäng har sprungit in på scenen med kraft och brutit mot minst 10 organisationer på mindre än en månads tid.

Gruppen, som Trellix-forskare har döpt till "Dark Power", är på de flesta sätt som vilken annan ransomware-grupp som helst. Men det skiljer sig från paketet på grund av ren snabbhet och brist på takt - och dess användning av programmeringsspråket Nim.

"Vi observerade dem först i naturen runt slutet av februari", konstaterar Duy Phuc Pham, en av författarna till en torsdag blogginlägg som profilerar Dark Power. "Så det har bara gått en halv månad och redan är 10 offer drabbade."

Vad som är konstigt är att det inte verkar finnas något rim eller anledning till vem Dark Power riktar sig till, sa Trellix-forskare. Gruppen har utökat sitt antal personer i Algeriet, Tjeckien, Egypten, Frankrike, Israel, Peru, Turkiet och USA, inom jordbruks-, utbildnings-, hälsovårds-, IT- och tillverkningssektorerna.

Att använda Nim som en fördel

Ett annat betydelsefullt sätt som Dark Power utmärker sig är i sitt val av programmeringsspråk.

"Vi ser att det finns en trend där cyberkriminella utvidgar sig till andra programmeringsspråk", säger Pham. Trenden är sprider sig snabbt bland hotaktörer. "Så även om de använder samma typ av taktik, kommer skadlig programvara att undvika upptäckt."

Dark Power använder Nim, ett språk på hög nivå dess skapare beskriver som effektiv, uttrycksfull och elegant. Nim var "ett lite oklart språk ursprungligen", noterade författarna i sitt blogginlägg, men "är nu mer utbredd när det gäller att skapa skadlig programvara. Skadliga program skapare använder det eftersom det är lätt att använda och det har plattformsoberoende funktioner."

Det gör det också svårare för de goa killarna att hänga med. "Kostnaden för det kontinuerliga upprätthållandet av kunskap från den försvarande sidan är högre än angriparens nödvändiga skicklighet för att lära sig ett nytt språk", enligt Trellix.

Vad mer vi vet om mörk makt

Själva attackerna följer en sliten ransomware spelbok: Socialtekniska offer via e-post, nedladdning och kryptering av filer, krävande lösen och utpressning av offer flera gånger oavsett om de betalar.

Gänget engagerar sig också klassisk dubbel utpressning. Redan innan offren vet att de har blivit kränkta, kan Dark Power " redan ha samlat in deras känsliga data ", förklarar Pham. "Och sedan använder de det för den andra lösen. Den här gången säger de att om du inte ska betala så kommer vi att offentliggöra informationen eller sälja den på Dark Web.”

Som alltid är det dock en Catch-22, eftersom "det finns ingen garanti för att om du betalar lösen kommer det inte att få några konsekvenser."

Därför måste företag ha policyer och procedurer på plats för att skydda sig själva, inklusive förmågan att upptäcka Nim-binärer.

"De kan försöka etablera robusta backup- och återställningssystem", säger Pham. "Det här är, tror jag, det viktigaste. Vi föreslår också att organisationer har en mycket exakt, mycket kraftfull incidenthanteringsplan på plats innan allt detta kan hända. Med det kan de minska effekten av attacken om den inträffar.”

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month