Zoom Zoom: Ransomware-ul „Dark Power” extorcă 10 ținte în mai puțin de o lună

O bandă de ransomware în curs de dezvoltare a ieșit pe scenă cu vigoare, încălcând cel puțin 10 organizații în mai puțin de o lună.

Grupul, pe care cercetătorii Trellix l-au numit „Dark Power”, este în cele mai multe privințe ca orice alt grup de ransomware. Dar se separă de pachet datorită vitezei și lipsei de tact - și utilizării limbajului de programare Nim.

„Le-am observat pentru prima dată în sălbăticie pe la sfârșitul lunii februarie”, notează Duy Phuc Pham, unul dintre autorii unei lucrări de joi. postare de blog care profilează Dark Power. „Deci a trecut doar o jumătate de lună și deja 10 victime sunt afectate.”

Ceea ce este ciudat este că nu pare să existe vreo rimă sau motiv pe cine vizează Dark Power, au spus cercetătorii Trellix. Grupul și-a adăugat numărul de persoane din Algeria, Republica Cehă, Egipt, Franța, Israel, Peru, Turcia și SUA, în sectoarele agricole, educaționale, medicale, IT și producție.

Folosind Nim ca avantaj

Un alt mod semnificativ prin care Dark Power se distinge este în alegerea limbajului de programare.

„Vedem că există o tendință în care infractorii cibernetici se extind la alte limbaje de programare”, spune Pham. Tendința este răspândirea rapidă printre actorii amenințărilor. „Deci, chiar dacă folosesc același tip de tactici, malware-ul va evita detectarea.”

Dark Power folosește Nim, un limbaj de nivel înalt creatorii săi descriu la fel de eficient, expresiv și elegant. Nim a fost „un limbaj cam obscur inițial”, au remarcat autorii în postarea lor pe blog, dar „este acum mai răspândit în ceea ce privește crearea de malware. Creatorii de programe malware îl folosesc deoarece este ușor de utilizat și are capacități multiplatforme.”

De asemenea, este mai dificil pentru băieții buni să țină pasul. „Costul menținerii continue a cunoștințelor din partea apărării este mai mare decât abilitățile necesare atacatorului pentru a învăța o nouă limbă”, potrivit Trellix.

Ce mai știm despre puterea întunecată

Atacurile în sine urmează un bine uzat manual de joc ransomware: Victimele de inginerie socială prin e-mail, descărcarea și criptarea fișierelor, solicitarea de răscumpărări și extorcarea victimelor de mai multe ori, indiferent dacă plătesc.

Gașca se implică și în dubla extorcare clasică. Chiar înainte ca victimele să știe că au fost încălcate, Dark Power „s-ar putea să-și fi colectat deja datele sensibile”, explică Pham. „Și apoi îl folosesc pentru a doua răscumpărare. De data aceasta ei spun că, dacă nu plătiți, vom face informațiile publice sau o vom vinde pe Dark Web.”

Ca întotdeauna, este un Catch-22, totuși, pentru că „nu există nicio garanție că dacă plătiți răscumpărarea, nu vor exista consecințe”.

Astfel, întreprinderile trebuie să aibă politici și proceduri în vigoare pentru a se proteja, inclusiv capacitatea de a detecta fișierele binare Nim.

„Pot încerca să stabilească sisteme robuste de backup și recuperare”, spune Pham. „Acesta este, cred, cel mai important lucru. De asemenea, sugerăm ca organizațiile să aibă un plan de răspuns la incident foarte precis și foarte puternic înainte ca toate acestea să se întâmple. Cu asta, ei pot reduce impactul atacului dacă are loc.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month