Zoom Zoom: Ransomware 'Sức mạnh đen tối' tống tiền 10 mục tiêu trong vòng chưa đầy một tháng

Một băng nhóm ransomware non trẻ đã tấn công mạnh mẽ vào hiện trường, xâm phạm ít nhất 10 tổ chức trong thời gian chưa đầy một tháng.

Nhóm mà các nhà nghiên cứu của Trellix đã đặt tên là “Sức mạnh tối tăm”, theo hầu hết các cách giống như bất kỳ nhóm ransomware nào khác. Nhưng nó tự tách biệt khỏi gói do tốc độ tuyệt đối và sự thiếu khéo léo — và việc sử dụng ngôn ngữ lập trình Nim.

“Lần đầu tiên chúng tôi quan sát thấy chúng ngoài tự nhiên là vào khoảng cuối tháng XNUMX,” Duy Phúc Phạm, một trong những tác giả của Thứ Năm, lưu ý. bài đăng trên blog định hình Quyền lực bóng tối. “Vậy là mới nửa tháng mà đã có 10 nạn nhân bị ảnh hưởng rồi.”

Các nhà nghiên cứu của Trellix cho biết, điều kỳ lạ là dường như không có vần điệu hay lý do nào về đối tượng mà Sức mạnh Bóng tối nhắm đến. Nhóm này đã bổ sung thêm số lượng cơ thể của mình ở Algeria, Cộng hòa Séc, Ai Cập, Pháp, Israel, Peru, Thổ Nhĩ Kỳ và Hoa Kỳ, trong các lĩnh vực nông nghiệp, giáo dục, y tế, CNTT và sản xuất.

Sử dụng Nim như một lợi thế

Một cách quan trọng khác mà Dark Power tự phân biệt là lựa chọn ngôn ngữ lập trình.

Pham cho biết: “Chúng tôi thấy rằng có một xu hướng tội phạm mạng đang mở rộng sang các ngôn ngữ lập trình khác. xu hướng là lây lan nhanh giữa các tác nhân đe dọa. “Vì vậy, mặc dù họ đang sử dụng cùng một loại chiến thuật, phần mềm độc hại sẽ tránh bị phát hiện.”

Dark Power sử dụng Nim, một ngôn ngữ cấp cao người tạo ra nó mô tả như hiệu quả, biểu cảm, và thanh lịch. Nim “ban đầu là một ngôn ngữ khó hiểu,” các tác giả đã lưu ý trong bài đăng trên blog của họ, nhưng “hiện đang phổ biến hơn khi nói đến việc tạo phần mềm độc hại. Những kẻ tạo phần mềm độc hại sử dụng nó vì nó dễ sử dụng và có khả năng đa nền tảng.”

Nó cũng khiến những người tốt khó theo kịp hơn. Theo Trellix, chi phí cho việc duy trì kiến ​​​​thức liên tục từ phía phòng thủ cao hơn so với kỹ năng cần thiết của kẻ tấn công để học một ngôn ngữ mới.

Những gì khác chúng ta biết về sức mạnh bóng tối

Bản thân các cuộc tấn công tuân theo một cẩm nang tống tiền: Các nạn nhân lừa đảo qua email, tải xuống và mã hóa tệp, đòi tiền chuộc và tống tiền nạn nhân nhiều lần bất kể họ có trả tiền hay không.

Băng đảng này cũng tham gia vào tống tiền kép cổ điển. Ngay cả trước khi nạn nhân biết rằng họ đã bị xâm phạm, Dark Power “có thể đã thu thập dữ liệu nhạy cảm của họ,” Phạm giải thích. “Và sau đó họ sử dụng nó cho khoản tiền chuộc thứ hai. Lần này họ nói rằng nếu bạn không trả tiền, chúng tôi sẽ công khai thông tin hoặc bán nó trên Dark Web.”

Tuy nhiên, như mọi khi, đó là Catch-22, bởi vì “không có gì đảm bảo rằng nếu bạn trả tiền chuộc, sẽ không có hậu quả gì”.

Vì vậy, doanh nghiệp cần có các chính sách và thủ tục để tự bảo vệ mình, bao gồm cả khả năng phát hiện nhị phân Nim.

Pham nói: “Họ có thể cố gắng thiết lập các hệ thống sao lưu và phục hồi mạnh mẽ. “Tôi nghĩ đây là điều quan trọng nhất. Chúng tôi cũng đề xuất rằng các tổ chức nên có một kế hoạch ứng phó sự cố rất chính xác, rất hiệu quả trước khi tất cả những điều này có thể xảy ra. Cùng với đó, họ có thể giảm tác động của cuộc tấn công nếu nó xảy ra.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month