Ett relativt nytt ransomware-gäng heter Dark Power är i det vilda – hackar olika organisationer globalt för en överkomlig efterfrågan på lösen.
Gänget har redan listat över 10 offer under sin första månads operation, samtidigt som de aktivt tittar på andra. Forskare noterar att Dark Power är något typiskt genom att använda ett minst känt programmeringsspråk och sprida två varianter för att träffa offren därefter.
Ett nytt Ransomware-gäng i naturen
Det har forskare vid Trellix upptäckt ett nytt gäng som heter ransomware Dark Power – som aktivt slår mot organisationer i flera länder på sistone. Från och med den 29 januari 2023, Dark Power-gänget har redan över 10 offer listade på sin dark net-webbplats – och väntar på att läcka deras data!
Dark Power ransomware sägs vara något annorlunda genom att använda Nimett plattformsoberoende programmeringsspråk med flera hastighetsrelaterade fördelar – vilket gör det lämpat för ransomware-operationer.
Och eftersom Nim är ett relativt nytt språk, misslyckas de flesta av säkerhetslösningarna att upptäcka det. Även om forskarna inte nämnde hur Dark Power attackerar, sa de att ransomware-gruppen skapar en randomiserad 64-tecken lång ASCII-sträng för att starta krypteringsprocessen, med en unik nyckel för varje exekvering.
Vidare fortsätter det med att avsluta specifika tjänster och processer på offrets system för att frigöra filer för kryptering, samtidigt som skuggkopiorna av data raderas för att göra återställningen svår senare. Detta blir ännu mycket svårare när ransomware-gänget utplånar konsolen och Windows-systemloggarna i processen!
Krypterade filer döps om med tillägget “.dark_power”, med vissa filtyper som DLLs, LIBs, INIs, CDMs, LNKs, BINs, MSIs etc exkluderade från kryptering för att hålla det infekterade systemet i drift – och låta offret se lösennotan och kontakta dem.
Bortsett från att använda Nim-språket, sticker Dark Power-gänget ut med en typisk lösenseddel i en 8-sidor lång PDF – som innehåller detaljer om hur offret hackades och instruktioner om hur de ska kontakta dem via qTox messenger. Gänget ger offren 72 timmar på sig att svara och lyda deras lösensumma på 10 000 dollar i formen XMR (Monero).
Att sätta lösensumman till en mycket mer överkomlig summa är ytterligare en taktik för att övertyga organisationen att betala den – utan att bry sig så mycket. Trellix noterar offren för Dark Power-gänget från hela världen, som drivit igenom dubbelutpressningsmetoden som andra inom detta område.
