Uma nova operação de ransomware chamada Dark Power apareceu e já listou suas primeiras vítimas em um site de vazamento de dados da dark web, ameaçando publicar os dados caso o resgate não seja pago.
A criptomoeda da gangue do ransomware tem uma data de construção de 29 de janeiro, quando os ataques começaram. Além disso, a operação ainda não foi promovida em nenhum fórum de hackers ou espaços da dark web, então é provável que seja um projeto privado.
Depois que todos os serviços são eliminados, o ransomware hiberna por 30 segundos e limpa o console do Windows e os logs do sistema para impedir a análise por especialistas em recuperação de dados. A criptografia usa AES (modo CRT) e a string ASCII gerada na inicialização. Os arquivos resultantes são renomeados com a extensão .dark_power.
Curiosamente, duas versões do ransomware circulavam livremente, cada uma com um esquema de chave de criptografia diferente. A primeira variante faz hash da string ASCII com o algoritmo SHA-256 e então divide o resultado em duas metades, usando a primeira como a chave AES e a segunda como o vetor de inicialização (nonce). A segunda variante usa o resumo SHA-256 como a chave AES e um valor fixo de 128 bits como o nonce de criptografia.
Arquivos de sistema críticos, como DLLs, LIBs, INIs, CDMs, LNKs, BINs e MSIs, bem como arquivos de programas e pastas do navegador da web, são excluídos da criptografia para manter o computador infectado operacional, permitindo assim que a vítima veja o resgate observar e entre em contato com os atacantes.
A nota de resgate, que foi modificada pela última vez em 9 de fevereiro, dá às vítimas 72 horas para enviar $ 10.000 em criptomoeda XMR (Monero) para o endereço de carteira fornecido para obter um descriptografador funcional.
A nota de resgate do Dark Power se destaca em comparação com outras operações de ransomware, pois é um documento PDF de oito páginas contendo informações sobre o que aconteceu e como contatá-los via qTox messenger.
Trellix relata ter identificado dez vítimas dos EUA, França, Israel, Turquia, República Tcheca, Argélia, Egito e Peru, então o escopo do alvo é global. O grupo Dark Power afirma ter roubado dados das redes dessas organizações e ameaça publicá-los se não pagarem o resgate, então é mais um grupo de dupla extorsão.
Fonte: CisoAdvisor
