Uma nova operação de ransomware chamada Dark Power apareceu e já listou suas primeiras vítimas em um site de vazamento de dados da dark web, ameaçando publicar os dados se um resgate não for pago.
O criptografador da gangue do ransomware tem data de compilação de 29 de janeiro, quando os ataques começaram. Além disso, a operação ainda não foi promovida em nenhum fórum de hackers ou espaços da dark web, portanto, é provável que seja um projeto privado.
Depois que todos os serviços são eliminados, o ransomware hiberna por 30 segundos e limpa o console e os logs do sistema Windows para impedir a análise de especialistas em recuperação de dados. A criptografia usa AES (modo CRT) e a string ASCII gerada na inicialização. Os arquivos resultantes são renomeados com a extensão .dark_power.
Curiosamente, duas versões do ransomware circularam livremente, cada uma com um esquema de chave de criptografia diferente. A primeira variante faz hash da string ASCII com o algoritmo SHA-256 e então divide o resultado em duas metades, usando a primeira como a chave AES e a segunda como o vetor de inicialização (nonce). A segunda variante usa o resumo SHA-256 como a chave AES e um valor fixo de 128 bits como o nonce de criptografia.
Arquivos críticos do sistema, como DLLs, LIBs, INIs, CDMs, LNKs, BINs e MSIs, bem como os arquivos de programas e pastas do navegador da web, são excluídos da criptografia para manter o computador infectado operacional, permitindo assim que a vítima veja o resgate observe e entre em contato com os atacantes.
Veja isso
Ransomware CatB usa técnica especial para evitar a detecção
Brasil já é o quarto maior alvo de ransomware do mundo
A nota de resgate, que foi modificada pela última vez em 9 de fevereiro, dá às vítimas 72 horas para enviar US$ 10 mil em criptomoeda XMR (Monero) para o endereço da carteira fornecida para obter um descriptografador funcional.
A nota de resgate do Dark Power se destaca na comparação com outras operações de ransomware, pois é um documento PDF de oito páginas contendo informações sobre o que aconteceu e como contatá-los pelo mensageiro qTox.
A Trellix relata ter identificado dez vítimas dos EUA, França, Israel, Turquia, República Tcheca, Argélia, Egito e Peru, então o escopo do alvo é global. O grupo Dark Power afirma ter roubado dados das redes dessas organizações e ameaça publicá-los caso não paguem o resgate, portanto é mais um grupo de dupla extorsão.
