Novo ransomware Dark Power reivindica 10 vítimas em seu primeiro mês
27 de Março de 2023

Uma nova operação de ransomware chamada 'Dark Power' apareceu e já listou suas primeiras vítimas em um site de vazamento de dados na dark web, ameaçando publicar os dados se um resgate não for pago.

O criptografador do grupo de ransomware tem uma data de compilação de 29 de janeiro de 2023, quando os ataques começaram.

Além disso, a operação ainda não foi promovida em nenhum fórum ou espaço da dark web de hackers; portanto, é provavelmente um projeto privado.

De acordo com a Trellix, que analisou o Dark Power, esta é uma operação de ransomware oportunista que visa organizações em todo o mundo, pedindo pagamentos relativamente pequenos de resgate de US$ 10.000.

O payload do Dark Power foi escrita em Nim, uma linguagem de programação multiplataforma com várias vantagens relacionadas à velocidade, tornando-a adequada para aplicativos críticos de desempenho como ransomware.

Além disso, como o Nim está apenas começando a se tornar mais popular entre os criminosos cibernéticos, geralmente é considerado uma escolha de nicho que é improvável de ser detectada por ferramentas de defesa.

A Trellix não fornece detalhes sobre o ponto de infecção do Dark Power, mas pode ser uma exploração, e-mails de phishing ou outros meios.

Após a execução, o ransomware cria uma string ASCII aleatória de 64 caracteres para inicializar o algoritmo de criptografia com uma chave única em cada execução.

Em seguida, o ransomware termina serviços e processos específicos na máquina da vítima para liberar arquivos para criptografia e minimizar as chances de que algo bloqueie o processo de bloqueio de arquivos.

Durante essa fase, o ransomware também interrompe o Serviço de Cópia de Sombra de Volume (VSS), serviços de backup de dados e produtos anti-malware em sua lista codificada.

Depois que todos os serviços acima são encerrados, o ransomware dorme por 30 segundos e limpa o console e os logs do sistema Windows para evitar análises de especialistas em recuperação de dados.

A criptografia usa AES (modo CRT) e a string ASCII gerada no lançamento.

Os arquivos resultantes são renomeados com a extensão ".dark_power".

Curiosamente, duas versões do ransomware circularam, cada uma com um esquema de chave de criptografia diferente.

A primeira variante hash a string ASCII com o algoritmo SHA-256 e depois divide o resultado em duas metades, usando a primeira como chave AES e a segunda como vetor de inicialização (nonce).

A segunda variante usa o resumo SHA-256 como chave AES e um valor fixo de 128 bits como nonce de criptografia.

Arquivos críticos do sistema, como DLLs, LIBs, INIs, CDMs, LNKs, BINs e MSIs, além das pastas de Program Files e navegadores da web, são excluídos da criptografia para manter o computador infectado operacional, permitindo que a vítima visualize a nota de resgate e entre em contato com os atacantes.

A nota de resgate, que foi modificada pela última vez em 9 de fevereiro de 2023, dá às vítimas 72 horas para enviar US$ 10.000 em XMR (Monero) para o endereço da carteira fornecido para obter um decodificador funcional.

A nota de resgate do Dark Power se destaca em comparação com outras operações de ransomware, pois é um documento PDF de 8 páginas contendo informações sobre o que aconteceu e como contatá-los pelo mensageiro qTox.

Ao escrever isso, o site Tor do Dark Power estava offline.

No entanto, não é incomum que portais de ransomware fiquem offline periodicamente à medida que as negociações com as vítimas se desenvolvem.

A Trellix relata que viu dez vítimas dos EUA, França, Israel, Turquia, República Tcheca, Argélia, Egito e Peru, então o escopo de direcionamento é global.

O grupo Dark Power afirma ter roubado dados das redes dessas organizações e ameaça publicá-los se não pagarem o resgate, portanto, é mais um grupo de dupla extorsão.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...