Исследователи сообщают о появлении нового шифровальщика Dark Power, операторы которого уже опубликовали в даркнете данные 10 своих жертв и угрожают «слить» похищенную у них информацию, если те не заплатят выкуп.
Эксперты ИБ-компании Tellix рассказывают, что малварь Dark Power была скомпилирована 29 января 2023 года, и примерно в это же время начались первые атаки группы. Так как вредонос пока не рекламировался на хакерских форумах или сайтах в даркнете, предполагается, что это приватный проект.
Судя по всему, операторы Dark Power полагаются на оппортунистические атаки и нацелены на организации по всему миру. У своих жертв злоумышленники требуют относительно небольшие выкупы в размере примерно 10 000 долларов.
Полезная нагрузка Dark Power написана на языке Nim, который обладает рядом преимуществ, связанных со скоростью и хорошо подходит для приложений, где важна производительность (включая программы-вымогатели). Поскольку Nim еще только набирает популярность среди киберпреступников и считается нишевым решением, такой вредонос вряд ли будет обнаружен защитными продуктами.
При этом аналитики Trellix не сообщают, как именно происходит заражение Dark Power. Для этих целей хакеры могут использовать эксплоиты, фишинговые письма и прочие хорошо известные методы.
В отчете компании рассказывается, что для шифрования данных вредонос использует AES (режим CRT) и строку ASCII, сгенерированную при запуске, а расширение файлов меняется на .dark_power. Критически важные системные файлы (DLL, LIB, INI, CDM, LNK, BIN и MSI), а также папку Program Files и папки браузера, малварь не шифрует, чтобы зараженный компьютер мог продолжать работу, и жертва получила записку с требованием выкупа.
Также отмечается, что перед началом шифрования Dark Power останавливает службу теневого копирования, службы резервного копирования и антивирусные продукты, действуя по жестко закодированному списку. Кроме того, перед стартом вредонос очищает консоль и системные журналы Windows, чтобы усложнить анализ и попытки восстановления данных.
При этом были обнаружены две версии малвари, использующие разные схемы шифрования. Первый вариант хэширует строку ASCII с помощью алгоритма SHA-256, а затем разбивает результат на две части, используя первую в качестве ключа AES, а вторую — в качестве вектора инициализации (nonce). Второй вариант использует дайджест SHA-256 в качестве ключа AES и фиксированное 128-битное значение в качестве nonce.
Интересно, что записка с требованием выкупа заметно отличается от других вымогателей, поскольку представляет собой восьмистраничный документ PDF, содержащий подробную информацию о том, что произошло, а также данные для связи со злоумышленниками через мессенджер qTox.
По информации Trellix, на данный момент жертвами Dark Power уже стали десять компаний из США, Франции, Израиля, Турции, Чехии, Алжира, Египта и Перу, чьи названия уже опубликованы на сайте хак-группы.
Операторы Dark Power утверждают, что похитили данные из сетей этих организаций и угрожают опубликовать их в открытом доступе, если те не заплатят выкуп.
