Uma nova operação de ransomware chamada 'Dark Power' apareceu e já listou suas primeiras vítimas em um site de vazamento de dados na dark web, ameaçando publicar os dados se um resgate não for pago.
O criptografador do grupo de ransomware tem uma data de compilação de 29 de janeiro de 2023, quando os ataques começaram.
Além disso, a operação ainda não foi promovida em nenhum fórum ou espaço da dark web de hackers; portanto, é provavelmente um projeto privado.
De acordo com a Trellix, que analisou o Dark Power, esta é uma operação de ransomware oportunista que visa organizações em todo o mundo, pedindo pagamentos relativamente pequenos de resgate de US$ 10.000.
O payload do Dark Power foi escrita em Nim, uma linguagem de programação multiplataforma com várias vantagens relacionadas à velocidade, tornando-a adequada para aplicativos críticos de desempenho como ransomware.
Além disso, como o Nim está apenas começando a se tornar mais popular entre os criminosos cibernéticos, geralmente é considerado uma escolha de nicho que é improvável de ser detectada por ferramentas de defesa.
A Trellix não fornece detalhes sobre o ponto de infecção do Dark Power, mas pode ser uma exploração, e-mails de phishing ou outros meios.
Após a execução, o ransomware cria uma string ASCII aleatória de 64 caracteres para inicializar o algoritmo de criptografia com uma chave única em cada execução.
Em seguida, o ransomware termina serviços e processos específicos na máquina da vítima para liberar arquivos para criptografia e minimizar as chances de que algo bloqueie o processo de bloqueio de arquivos.
Durante essa fase, o ransomware também interrompe o Serviço de Cópia de Sombra de Volume (VSS), serviços de backup de dados e produtos anti-malware em sua lista codificada.
Depois que todos os serviços acima são encerrados, o ransomware dorme por 30 segundos e limpa o console e os logs do sistema Windows para evitar análises de especialistas em recuperação de dados.
A criptografia usa AES (modo CRT) e a string ASCII gerada no lançamento.
Os arquivos resultantes são renomeados com a extensão ".dark_power".
Curiosamente, duas versões do ransomware circularam, cada uma com um esquema de chave de criptografia diferente.
A primeira variante hash a string ASCII com o algoritmo SHA-256 e depois divide o resultado em duas metades, usando a primeira como chave AES e a segunda como vetor de inicialização (nonce).
A segunda variante usa o resumo SHA-256 como chave AES e um valor fixo de 128 bits como nonce de criptografia.
Arquivos críticos do sistema, como DLLs, LIBs, INIs, CDMs, LNKs, BINs e MSIs, além das pastas de Program Files e navegadores da web, são excluídos da criptografia para manter o computador infectado operacional, permitindo que a vítima visualize a nota de resgate e entre em contato com os atacantes.
A nota de resgate, que foi modificada pela última vez em 9 de fevereiro de 2023, dá às vítimas 72 horas para enviar US$ 10.000 em XMR (Monero) para o endereço da carteira fornecido para obter um decodificador funcional.
A nota de resgate do Dark Power se destaca em comparação com outras operações de ransomware, pois é um documento PDF de 8 páginas contendo informações sobre o que aconteceu e como contatá-los pelo mensageiro qTox.
Ao escrever isso, o site Tor do Dark Power estava offline.
No entanto, não é incomum que portais de ransomware fiquem offline periodicamente à medida que as negociações com as vítimas se desenvolvem.
A Trellix relata que viu dez vítimas dos EUA, França, Israel, Turquia, República Tcheca, Argélia, Egito e Peru, então o escopo de direcionamento é global.
O grupo Dark Power afirma ter roubado dados das redes dessas organizações e ameaça publicá-los se não pagarem o resgate, portanto, é mais um grupo de dupla extorsão.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...