Μια νέα επιχείρηση ransomware με την ονομασία “Dark Power” έχει εμφανιστεί στο πεδίο απειλών, με κάποια θύματα να αναφέρονται ήδη σε έναν ιστότοπο διαρροής δεδομένων που έχουν φτιάξει οι hackers στο dark web. Καθώς φαίνεται, οι χειριστές του ransomware έχουν κλέψει δεδομένα από τα συστήματα των θυμάτων και απειλούν να τα δημοσιοποιήσουν αν δεν λάβουν τα λύτρα που ζητούν.

Οι επιθέσεις από το νέο ransomware ξεκίνησαν στις 29 Ιανουαρίου 2023.

Η έρευνα της εταιρείας κυβερνοασφάλειας Trellix για το Dark Power δείχνει ότι πρόκειται για μια νέα επιχείρηση ransomware που στοχεύει οργανισμούς σε όλο τον κόσμο και απαιτεί σχετικά χαμηλά χρηματικά ποσά ύψους 10.000 δολαρίων.

Δείτε επίσης: Clop ransomware: Η πόλη του Τορόντο επιβεβαιώνει κλοπή δεδομένων

Dark Power ransomware επιθέσεις

Το Dark Power ransomware έχει γραφτεί σε Nim, μια γλώσσα προγραμματισμού πολλαπλών πλατφορμών που έχει πολλά πλεονεκτήματα. Ένα από αυτά σχετίζεται με την ταχύτητα. Επίσης, η Nim έχει αρχίσει να γίνεται τώρα πιο δημοφιλής μεταξύ των εγκληματιών του κυβερνοχώρου. Αυτό σημαίνει ότι είναι πιο απίθανο να εντοπιστεί από τα αμυντικά εργαλεία.

Η Trellix ανέλυσε το νέο Dark Power ransomware και ενώ δεν εξήγησε πώς γίνεται η αρχική μόλυνση ενός συστήματος, υποθέτουμε ότι η επίθεση θα μπορούσε να ξεκινήσει με κάποιο phishing μήνυμα που περιέχει σύνδεσμο με κακόβουλο payload ή με κάποιο exploit ή άλλη μέθοδο που έχουμε δει και σε άλλες επιθέσεις ransomware.

Η εταιρεία έδωσε περισσότερες λεπτομέρειες για τη συνέχεια της επίθεσης. Κατά την εκτέλεση, το ransomware δημιουργεί μια τυχαιοποιημένη συμβολοσειρά ASCII μήκους 64 χαρακτήρων για την προετοιμασία του αλγόριθμου κρυπτογράφησης με ένα μοναδικό κλειδί σε κάθε εκτέλεση.

Στη συνέχεια, το ransomware τερματίζει συγκεκριμένες υπηρεσίες και διεργασίες στον υπολογιστή του θύματος. Αυτό το κάνει: α) για να ελευθερώσει αρχεία για κρυπτογράφηση και β) για να ελαχιστοποιήσει τις πιθανότητες να υπάρξει κάτι που θα μπορούσε να εμποδίσει τη διαδικασία κλειδώματος των αρχείων. Σε αυτό το στάδιο, απενεργοποιείται και η υπηρεσία δημιουργίας αντιγράφων ασφαλείας δεδομένων Volume Shadow Copy Service (VSS) καθώς και προϊόντα anti-malware.

Δείτε επίσης: Η ομάδα Play ransomware δημοσίευσε τα data της Royal Dirkzwager

Μετά την απενεργοποίηση των παραπάνω υπηρεσιών, το Dark Power ransomware διαγράφει τα αρχεία καταγραφής της κονσόλας και του συστήματος των Windows για να αποτρέψει την ανάλυση από ειδικούς στην ανάκτηση δεδομένων.

Μετά την κρυπτογράφηση, τα αρχεία αποκτούν την επέκταση “.dark_power“.

Σύμφωνα με τους ερευνητές, έχουν κυκλοφορήσει δύο εκδόσεις του ransomware και η καθεμία με διαφορετικό encryption key scheme. Η πρώτη παραλλαγή κάνει hash το ASCII string με τον αλγόριθμο SHA-256 και στη συνέχεια χωρίζει το αποτέλεσμα σε δύο μισά, χρησιμοποιώντας το πρώτο ως AES key και το δεύτερο ως initialization vector (nonce). Η δεύτερη παραλλαγή χρησιμοποιεί το SHA-256 digest ως AES key και μια σταθερή τιμή 128 bit ως encryption nonce.

Κρίσιμα αρχεία, όπως DLL, LIB, INI, CDM, LNK, BIN και MSI, καθώς και τα Program Files και οι φάκελοι του προγράμματος περιήγησης, εξαιρούνται από την κρυπτογράφηση ώστε να μπορεί ο υπολογιστής να λειτουργήσει κανονικά και να μπορεί το θύμα να δει το σημείωμα λύτρων.

Μιλώντας για το σημείωμα λύτρων, αυτό ενημερώνει τα θύματα για την επίθεση και τους δίνει προθεσμία 72 ώρες για να στείλουν 10.000 $ σε XMR (Monero) σε μια διεύθυνση πορτοφολιού. Οι hackers υπόσχονται ότι μετά την καταβολή των λύτρων, τα θύματα θα λάβουν ένα εργαλείο αποκρυπτογράφησης για το σύστημά τους.

Το σημείωμα λύτρων του Dark Power ransomware είναι αρκετά διαφορετικό από αυτά που έχουμε δει σε άλλες ransomware επιθέσεις. Είναι ένα έγγραφο PDF 8 σελίδων που περιέχει πληροφορίες σχετικά με το τι συνέβη και πώς να επικοινωνήσουν τα θύματα μέσω του qTox messenger.

Δείτε επίσης: Dole: Η ransomware επίθεση οδήγησε σε παραβίαση δεδομένων

Θύματα

Η Trellix έχει εντοπίσει θύματα των κακόβουλων επιθέσεων του Dark Power ransomware σε διάφορες χώρες: ΗΠΑ, Γαλλία, Ισραήλ, Τουρκία, Τσεχική Δημοκρατία, Αλγερία, Αίγυπτος και Περού. Αυτό δείχνει ότι η κακόβουλη αυτή δραστηριότητα είναι σε παγκόσμια κλίμακα.

Η ομάδα πίσω από το Dark Power φέρεται να έχει εισβάλει στα δίκτυα τουλάχιστον 10 οντοτήτων και απειλεί να απελευθερώσει τα κλεμμένα δεδομένα εκτός αν καταβληθούν λύτρα. Με άλλα λόγια, αυτή η κακόβουλη συμμορία εφαρμόζει τακτικές διπλού εκβιασμού, όπως και οι περισσότερες συμμορίες ransomware σήμερα.

Το ransomware αποτελεί σοβαρή απειλή τόσο για τα άτομα όσο και για τους οργανισμούς. Παρόλο που μπορεί να προκαλέσει σημαντική ζημία, μπορεί να αποτραπεί με τις σωστές προφυλάξεις. Να είστε πάντα προσεκτικοί σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου, να κατεβάζετε λογισμικό μόνο από αξιόπιστες πηγές και να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Εάν εκδηλωθεί επίθεση, ζητήστε βοήθεια από ειδικούς και μην πληρώσετε τα λύτρα!

Πηγή: www.bleepingcomputer.com