Zoom Zoom: програма-вимагач «Dark Power» виманює 10 цілей менш ніж за місяць

Новонароджена банда програм-вимагачів вирвалася на сцену з силою, зламавши щонайменше 10 організацій менш ніж за місяць.

Група, яку дослідники Trellix назвали «Dark Power», здебільшого схожа на будь-яку іншу групу програм-вимагачів. Але він виділяється з-поміж зграї простою швидкістю та відсутністю такту, а також використанням мови програмування Nim.

«Ми вперше спостерігали їх у дикій природі приблизно наприкінці лютого», — зазначає Дуй Фук Фам, один із авторів четвергової статті. допис у блозі, що описує темну силу. «Таким чином, минуло лише півмісяця, а вже 10 постраждалих».

Що дивно, так це те, що, здається, немає ні рими, ні причини щодо того, на кого спрямована Темна сила, кажуть дослідники Trellix. Група збільшила кількість своїх тіл в Алжирі, Чехії, Єгипті, Франції, Ізраїлі, Перу, Туреччині та США в галузях сільського господарства, освіти, охорони здоров’я, ІТ та виробництва.

Використання Nim як перевага

Ще один важливий аспект, яким Dark Power вирізняється, це вибір мови програмування.

«Ми бачимо, що існує тенденція, коли кіберзлочинці поширюються на інші мови програмування», — каже Фам. Тенденція така швидке поширення серед суб’єктів загрози. «Тож навіть якщо вони використовують ту саму тактику, зловмисне програмне забезпечення не буде виявлено».

Dark Power використовує Nim, мову високого рівня описують його творці ефективний, виразний і елегантний. Nim спочатку був «дещо незрозумілою мовою», як зазначили автори у своєму блозі, але «зараз він більш поширений щодо створення шкідливих програм. Творці зловмисного програмного забезпечення використовують його, оскільки воно просте у використанні та має кросплатформні можливості».

Це також ускладнює хорошим хлопцям не відставати. «Вартість безперервного збереження знань сторони, що захищається, вища, ніж необхідні навички зловмисника для вивчення нової мови», — каже Trellix.

Що ще ми знаємо про темну силу

Самі атаки слідують за затертими збірник програм-вимагачів: соціальна інженерія жертв через електронну пошту, завантаження та шифрування файлів, вимагання викупу та багаторазове вимагання жертв незалежно від того, чи платять вони.

Банда також займається класичне подвійне вимагання. Ще до того, як жертви дізнаються, що їх зламали, Темна Сила «може вже зібрати їхні конфіденційні дані», пояснює Фам. «А потім вони використовують це для другого викупу. Цього разу вони кажуть, що якщо ви не збираєтеся платити, ми оприлюднимо інформацію або продамо її в Dark Web».

Однак, як завжди, це Catch-22, оскільки «немає гарантії, що якщо ви заплатите викуп, не буде жодних наслідків».

Таким чином, підприємства повинні мати політики та процедури, щоб захистити себе, включаючи можливість виявлення двійкових файлів Nim.

«Вони можуть спробувати створити надійні системи резервного копіювання та відновлення», — каже Фам. «Це, я вважаю, найголовніше. Ми також пропонуємо організаціям розробити дуже точний, дуже потужний план реагування на інциденти, перш ніж усе це станеться. Завдяки цьому вони можуть зменшити вплив атаки, якщо вона відбудеться».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month