近日,出现了一种名为“Dark Power”(暗网)的新勒索软件操作,它已经在一个暗网数据泄露网站上列出了第一批受害者,并威胁说如果不支付赎金就公布数据。
勒索软件团伙的加密器的编译日期是 2023 年 1 月 29 日,即攻击开始的时间。
此外,该操作尚未在任何黑客论坛或暗网空间上推广;因此它可能是一个私人项目。
据分析 Dark Power 的Trellix称,这是一种针对全球组织的机会主义勒索软件操作,要求支付相对较小的 10,000 美元赎金。
Dark Power 有效载荷是用 Nim 编写的,Nim 是一种跨平台编程语言,具有多个与速度相关的优势,使其适用于性能关键型应用程序,如勒索软件。
此外,由于 Nim 现在才开始在网络犯罪分子中越来越受欢迎,它通常被认为是不太可能被防御工具检测到的利基选择。
Trellix 没有提供有关 Dark Power 感染点的详细信息,但它可能是一种利用、网络钓鱼电子邮件或其他方式。
执行时,勒索软件会创建一个随机的 64 个字符长的 ASCII 字符串,用于在每次执行时使用唯一密钥初始化加密算法。
接下来,勒索软件会终止受害者机器上的特定服务和进程,以释放文件进行加密,并最大限度地减少任何阻止文件锁定进程的可能性。
在此阶段,勒索软件还会停止其硬编码列表中的卷影复制服务 (VSS)、数据备份服务和反恶意软件产品。
加密使用 AES(CRT 模式)和启动时生成的 ASCII 字符串。生成的文件被重命名为“.dark_power”扩展名。
有趣的是,该勒索软件有两个版本在野外流传,每个版本都有不同的加密密钥方案。
第一个变体使用 SHA-256 算法对 ASCII 字符串进行哈希处理,然后将结果分成两半,使用第一部分作为 AES 密钥,第二部分作为初始化向量 (nonce)。
第二种变体使用 SHA-256 摘要作为 AES 密钥,并使用固定的 128 位值作为加密随机数。
DLL、LIB、INI、CDM、LNK、BIN 和 MSI 等系统关键文件,以及程序文件和网络浏览器文件夹,都被排除在加密之外,以保持受感染计算机的运行,从而使受害者能够查看赎金注意并联系攻击者。
与其他勒索软件操作相比,Dark Power 的赎金记录很突出,因为它是一个 8 页的 PDF 文档,其中包含有关发生的事情以及如何通过 qTox 信使联系他们的信息。
Trellix 报告说,它已经看到来自美国、法国、以色列、土耳其、捷克共和国、阿尔及利亚、埃及和秘鲁的十名受害者,因此目标范围是全球性的。
Dark Power 组织声称从这些组织的网络中窃取了数据,并威胁说如果他们不支付赎金,就会公开这些数据,所以它又是一个双重勒索组织。
转自 E安全,原文链接:https://mp.weixin.qq.com/s/-1ixwbvB-1IIW2sSAwZXeA
封面来源于网络,如有侵权请联系删除