Операторы новой программы-вымогателя Dark Power говорят, что уже взломали 10 компаний

Опубликовано автором

Исследователи сообщают о появлении нового шифровальщика Dark Power, операторы которого уже опубликовали в даркнете данные 10 своих жертв и угрожают «слить» украденную у них информацию, если они не заплатят выкуп.

Эксперты компании по информационной безопасности Tellix РассказыватьЧто вредоносное ПО Dark Power было скомпилировано 29 января 2023 года, и примерно в это же время начались первые атаки группы. Поскольку вредоносное ПО еще не рекламировалось на хакерских форумах или сайтах в даркнете, предполагается, что это частный проект.

Судя по всему, операторы темной силы полагаются на оппортунистические атаки и нацелены на организации по всему миру. Злоумышленники требуют от своих жертв относительно небольшой выкуп в размере около 10 000 долларов.

Полезная нагрузка Dark Power написана на языке NIM, который имеет ряд преимуществ, связанных со скоростью, и хорошо подходит для чувствительных к производительности приложений (включая программы-вымогатели). Поскольку Nim все еще набирает популярность среди киберпреступников и считается нишевым решением, такое вредоносное ПО вряд ли будет обнаружено антивирусными продуктами.

При этом аналитики Trellix не сообщают, как именно происходит заражение Dark Power. Для этих целей хакеры могут использовать эксплойты, фишинговые письма и другие известные способы.

В отчете компании говорится, что вредоносное ПО использует AES (режим CRT) и строку ASCII, сгенерированную при запуске, для шифрования данных, а расширение файла меняется на .dark_power. Критические системные файлы (DLL, LIB, INI, CDM, LNK, BIN и MSI), а также папку с программными файлами и папки браузера вредоносная программа не шифрует, поэтому зараженный компьютер может продолжать работу, а жертва получает выкуп . Уведомление.

Также отмечается, что перед началом шифрования Dark Power останавливает службу теневого копирования, службы резервного копирования и антивирусные продукты, действуя по жестко запрограммированному списку. Кроме того, перед запуском вредонос очищает консоль Windows и системные журналы, чтобы усложнить анализ и попытки восстановления данных.

При этом были обнаружены две версии зловреда с разными схемами шифрования. Первый вариант хэширует строку ASCII с помощью алгоритма SHA-256, а затем разбивает результат на две части, используя первую в качестве ключа AES, а вторую в качестве вектора инициализации (нет). Второй вариант использует дайджест SHA-256 в качестве ключа AES и фиксированное 128-битное значение в качестве NANCE.

Интересно, что записка с требованием выкупа заметно отличается от других программ-вымогателей, так как представляет собой восьмистраничный PDF-документ с подробностями произошедшего, а также данными для связи со злоумышленниками через мессенджер qTox.

По данным Trelix, жертвами Dark Power уже стали десять компаний из США, Франции, Израиля, Турции, Чехии, Алжира, Египта и Перу, названия которых уже опубликованы на сайте Hack Group.

Операторы Dark Power утверждают, что украли данные из сетей организаций, и угрожают опубликовать их, если они не заплатят выкуп.

Source

Похожие записи:

  1. Почему сиднейские татуировщики говорят, что парам никогда не следует наносить на себя имя своего партнера
  2. Я нашла идеальное платье для свадьбы, но люди говорят, что оно похоже на нижнее белье
  3. Эндрю Ллойд Уэббер рассказал, что 43-летний сын Николас «критически болен» раком желудка
  4. Ведущий Fox News говорит, что Нью-Йорк может стать «зоопарком», если Трампа арестуют во вторник
ЧИТАТЬ   Песков заявил, что все прежние цели спецоперации остаются в силе