باج افزار جدید Dark Power در ماه اول خود ۱۰ قربانی گرفت
یک عملیات باجافزار جدید به نام Dark Power ظاهر شده است و اولین قربانیان خود را قبلاً در یک سایت نشت دادههای dark web فهرست کرده است و تهدید میکند در صورت عدم پرداخت باج، دادهها را منتشر خواهد کرد.
رمزگذار باجافزار دارای تاریخ ۲۹ ژانویه ۲۰۲۳ است که حملات شروع شد.
علاوه بر این، این عملیات هنوز در هیچ انجمن هکر یا فضای تاریک وب تبلیغ نشده است. از این رو احتمالاً یک پروژه خصوصی است.
طبق گفته Trellix، که Dark Power را تجزیه و تحلیل کرده است، این یک عملیات باج افزار فرصت طلبانه است که سازمان ها را در سراسر جهان هدف قرار می دهد و برای پرداخت باج نسبتاً کوچک ۱۰۰۰۰ دلار درخواست می کند.
جزئیات حمله Dark Powerمحموله Dark Power به زبان Nim نوشته شده است، یک زبان برنامه نویسی چند پلتفرمی با چندین مزیت مرتبط با سرعت، که آن را برای برنامه های کاربردی حیاتی مانند باج افزار مناسب می کند.
همچنین، از آنجایی که Nim در حال حاضر در میان مجرمان سایبری محبوبیت بیشتری پیدا کرده است، به طور کلی به عنوان یک انتخاب خاص در نظر گرفته می شود که بعید است توسط ابزارهای دفاعی شناسایی شود.
Trellix جزئیاتی در مورد مسیر نفوذ Dark Power ارائه نمی دهد، اما می تواند یک سوء استفاده، ایمیل های فیشینگ یا ابزارهای دیگر باشد.
پس از اجرا، باج افزار یک رشته ASCII تصادفی ۶۴ کاراکتری برای مقداردهی اولیه الگوریتم رمزگذاری با یک کلید منحصر به فرد در هر اجرا ایجاد می کند.
در مرحله بعد، باجافزار خدمات و فرآیندهای خاصی را در دستگاه قربانی خاتمه میدهد تا فایلها را برای رمزگذاری آزاد کند و احتمال مسدود کردن فرآیند قفل کردن فایل را به حداقل برساند.
در طی آن مرحله، باجافزار خدمات کپی سایه حجمی (VSS)، خدمات پشتیبانگیری از دادهها و محصولات ضد بدافزار را در فهرست کدگذاری شده خود متوقف میکند.
پس از از بین رفتن تمامی سرویس های فوق، باج افزار به مدت ۳۰ ثانیه متوقف می شود و لاگ های کنسول و سیستم ویندوز را پاک می کند تا از تجزیه و تحلیل کارشناسان بازیابی اطلاعات جلوگیری شود.
رمزگذاری از AES (حالت CRT) و رشته ASCII تولید شده در هنگام راه اندازی استفاده می کند. فایل های به دست آمده با پسوند “.dark_power” تغییر نام داده می شوند.
جالب اینجاست که دو نسخه از باجافزار منتشر شدهاند که هر کدام دارای یک طرح کلید رمزگذاری متفاوت هستند.
نوع اول رشته ASCII را با الگوریتم SHA-256 هش می کند و سپس نتیجه را به دو نیمه تقسیم می کند، اولی به عنوان کلید AES و دومی به عنوان بردار اولیه.
نوع دوم از خلاصه SHA-256 به عنوان کلید AES و یک مقدار ثابت ۱۲۸ بیتی به عنوان nonce رمزگذاری استفاده می کند.
فایلهای حیاتی سیستم مانند DLL، LIB، INI، CDM، LNK، BIN، و MSI، و همچنین فایلهای برنامه و پوشههای مرورگر وب، از رمزگذاری حذف میشوند تا کامپیوتر آلوده را عملیاتی نگه دارد، بنابراین به قربانی اجازه میدهد باج را مشاهده کند. توجه داشته باشید و با مهاجمان تماس بگیرید.
یادداشت باج که آخرین بار در ۹ فوریه ۲۰۲۳ اصلاح شد، به قربانیان ۷۲ ساعت فرصت میدهد تا ۱۰۰۰۰ دلار ارز دیجیتال به آدرس کیف پول ارائهشده ارسال کنند تا رمز را دریافت کنند.
یادداشت باجگیری Dark Power در مقایسه با سایر عملیاتهای باجافزار متمایز است، زیرا یک سند PDF هشت صفحهای است که حاوی اطلاعاتی درباره آنچه اتفاق افتاده و نحوه تماس با آنها از طریق پیامرسان qTox است.