باج افزار جدید Dark Power در ماه اول خود ۱۰ قربانی گرفت

باج افزار جدید Dark Power در ماه اول خود ۱۰ قربانی گرفت

یک عملیات باج‌افزار جدید به نام Dark Power ظاهر شده است و اولین قربانیان خود را قبلاً در یک سایت نشت داده‌های dark web فهرست کرده است و تهدید می‌کند در صورت عدم پرداخت باج، داده‌ها را منتشر خواهد کرد.

رمزگذار باج‌افزار دارای تاریخ ۲۹ ژانویه ۲۰۲۳ است که حملات شروع شد.

علاوه بر این، این عملیات هنوز در هیچ انجمن هکر یا فضای تاریک وب تبلیغ نشده است. از این رو احتمالاً یک پروژه خصوصی است.

طبق گفته Trellix، که Dark Power را تجزیه و تحلیل کرده است، این یک عملیات باج افزار فرصت طلبانه است که سازمان ها را در سراسر جهان هدف قرار می دهد و برای پرداخت باج نسبتاً کوچک ۱۰۰۰۰ دلار درخواست می کند.

جزئیات حمله Dark Powerمحموله Dark Power به زبان Nim نوشته شده است، یک زبان برنامه نویسی چند پلتفرمی با چندین مزیت مرتبط با سرعت، که آن را برای برنامه های کاربردی حیاتی مانند باج افزار مناسب می کند.

همچنین، از آنجایی که Nim در حال حاضر در میان مجرمان سایبری محبوبیت بیشتری پیدا کرده است، به طور کلی به عنوان یک انتخاب خاص در نظر گرفته می شود که بعید است توسط ابزارهای دفاعی شناسایی شود.

Trellix جزئیاتی در مورد مسیر نفوذ Dark Power ارائه نمی دهد، اما می تواند یک سوء استفاده، ایمیل های فیشینگ یا ابزارهای دیگر باشد.

پس از اجرا، باج افزار یک رشته ASCII  تصادفی ۶۴ کاراکتری برای مقداردهی اولیه الگوریتم رمزگذاری با یک کلید منحصر به فرد در هر اجرا ایجاد می کند.

در مرحله بعد، باج‌افزار خدمات  و فرآیندهای خاصی را در دستگاه قربانی خاتمه می‌دهد تا فایل‌ها را برای رمزگذاری آزاد کند و احتمال مسدود کردن فرآیند قفل کردن فایل را به حداقل برساند.

در طی آن مرحله، باج‌افزار خدمات کپی سایه حجمی (VSS)، خدمات پشتیبان‌گیری از داده‌ها و محصولات ضد بدافزار را در فهرست کدگذاری‌ شده خود متوقف می‌کند.

پس از از بین رفتن تمامی سرویس های فوق، باج افزار به مدت ۳۰ ثانیه متوقف می شود و لاگ های کنسول و سیستم ویندوز را پاک می کند تا از تجزیه و تحلیل کارشناسان بازیابی اطلاعات جلوگیری شود.

رمزگذاری از AES (حالت CRT) و رشته ASCII  تولید شده در هنگام راه اندازی استفاده می کند. فایل های به دست آمده با پسوند “.dark_power” تغییر نام داده می شوند.

جالب اینجاست که دو نسخه از باج‌افزار منتشر شده‌اند که هر کدام دارای یک طرح کلید رمزگذاری متفاوت هستند.

نوع اول رشته ASCII را با الگوریتم SHA-256 هش می کند و سپس نتیجه را به دو نیمه تقسیم می کند، اولی به عنوان کلید AES و دومی به عنوان بردار اولیه.

نوع دوم از خلاصه SHA-256 به عنوان کلید AES و یک مقدار ثابت ۱۲۸ بیتی به عنوان nonce رمزگذاری استفاده می کند.

فایل‌های حیاتی سیستم مانند DLL، LIB، INI، CDM، LNK، BIN، و MSI، و همچنین فایل‌های برنامه و پوشه‌های مرورگر وب، از رمزگذاری حذف می‌شوند تا کامپیوتر آلوده را عملیاتی نگه دارد، بنابراین به قربانی اجازه می‌دهد باج را مشاهده کند. توجه داشته باشید و با مهاجمان تماس بگیرید.

یادداشت باج که آخرین بار در ۹ فوریه ۲۰۲۳ اصلاح شد، به قربانیان ۷۲ ساعت فرصت می‌دهد تا ۱۰۰۰۰ دلار ارز دیجیتال به آدرس کیف پول ارائه‌شده ارسال کنند تا رمز را دریافت کنند.

یادداشت باج‌گیری Dark Power در مقایسه با سایر عملیات‌های باج‌افزار متمایز است، زیرا یک سند PDF  هشت صفحه‌ای است که حاوی اطلاعاتی درباره آنچه اتفاق افتاده و نحوه تماس با آنها از طریق پیام‌رسان qTox است.