Nel panorama dei ransomware un nuovo gruppo sta cercando di farsi un nome: si chiama Dark Power e sta facendo vittime in tutto il mondo, in qualsiasi settore gli capiti a tiro. A individuare per primi questo nuovo ransomware sono stati i ricercatori di Trellix.
Il programma è scritto in Nim, un linguaggio cross-platform nato originariamente come un linguaggio un po’ oscuro, ora più diffuso per quanto riguarda la creazione di malware. I creatori di malware lo utilizzano poiché è facile da usare e ha funzionalità multipiattaforma. Come spiegano i ricercatori, gli attaccanti stanno scegliendo linguaggi nuovi e relativamente poco diffusi per mettere in difficoltà i team di difesa, che devono tenersi aggiornati continuamente.
All’avvio, il ransomware crea una stringa ASCII minuscola lunga 64 caratteri randomizzata. Questa stringa viene utilizzata successivamente per inizializzare l’algoritmo di crittografia. La randomizzazione garantisce che la chiave sia univoca ogni volta che il campione viene eseguito, e quindi è univoca su ogni macchina mirata, ostacolando la creazione di uno strumento di decrittazione generico.
Le stringhe all’interno del ransomware sono crittografate, probabilmente per rendere più difficile per i difensori creare una regola di rilevamento generica. Le stringhe di testo cifrato sono presenti all’interno del binario in un formato codificato base64. Una volta che la stringa crittografata è stata decodificata, la stringa viene decrittografata utilizzando una chiave fissa, che è l’hash SHA-256 di una stringa hardcoded. Anche il vettore di inizializzazione (IV) è incluso nel file binario, ma ogni chiamata di decrittazione utilizza un IV diverso.
Il ransomware Dark Power prende di mira servizi specifici sulla macchina della vittima. Una volta installato, arresta i servizi veeam, memtas, sql, mssql, backup, vss, sophos, svc$ e mepocs. Disabilitando questi servizi, il ransomware rende difficile per la vittima recuperare i propri file, in quanto i servizi liberano i file (ovvero i database) che consentono al ransomware di crittografarli, e per aumentare la possibilità che la vittima paghi il riscatto. Inoltre, il servizio Copia Shadow del volume (VSS) viene arrestato, cosa comune per i ransomware. VSS conserva le copie shadow dei file. Inoltre, Dark Power interrompe altri servizi di backup e anti-malware, il tutto con l’obiettivo è aumentare la possibilità che una vittima paghi il riscatto richiesto.
Il ransomware interrompe anche interi processi relativi alla gestione dei database, come sql.exe, oracle.exe e dbsnmp.exe, per garantirsi di riuscire a cifrare tutti i dati e non incappare in file bloccati dai processi.
Una volta che tutti i servizi e i processi mirati vengono interrotti e terminati, c’è un altro filtro che deve essere applicato dal ransomware: l’esclusione di nomi di file, estensioni di file e nomi di cartelle. Affinché una vittima possa vedere la richiesta di riscatto, è necessaria una macchina funzionante. Pertanto, alcuni file e cartelle, fondamentali per il funzionamento del sistema, sono esclusi. Dark Power, quindi, procede con la cifratura dei dati.
Ogni cartella che viene enumerata dal ransomware riceverà una copia della nota di riscatto. A differenza delle solite note di riscatto in testo normale, la nota di riscatto è un file PDF.
Il gruppo richiede un pagamento di 10.000 dollari a un indirizzo blockchain Monero, per chattare.
I ricercatori di Trellix spiegano che ci sono due versioni del ransomware attualmente in circolazione, ciascuna con una chiave di crittografia e un formato diversi. L’obiettivo, però, è sempre lo stesso: cifrare i dati e chiedere un riscatto per riottenerli, pena la pubblicazione sul web.
Il gruppo ransomware Dark Power è uno dei tanti gruppi che estorce le proprie vittime due volte: una volta crittografando i dati e una volta pubblicando i dati rubati se non viene ricevuto alcun pagamento.
Il ransomware stesso non carica alcun file, il che fa presumere che l’esfiltrazione dei dati venga eseguita manualmente e prima della distribuzione del ransomware.
La banda Dark Power opera su scala globale, con vittime dichiarate in Algeria, Repubblica Ceca, Egitto, Francia, Israele, Perù, Turchia e Stati Uniti. Secondo il sito web del gruppo, hanno preso di mira con successo dieci vittime. I settori delle vittime, in ordine sparso, sono: istruzione, informatica, sanità, manifattura e produzione alimentare.
L’adozione di nuovi (più) linguaggi, come Nim, Golang o Rust, da parte degli autori di malware è una tendenza che non è nuova. Il costo del continuo mantenimento della conoscenza da parte del difensore è superiore all’abilità richiesta all’attaccante per imparare una nuova lingua. Condividere queste informazioni, in blog come questi, aiuterà l’intera comunità.
Dark Power mostra che un approccio piuttosto generico al ransomware può ancora essere efficace, indipendentemente dal linguaggio in cui è scritto, concludono gli esperti di Trellix.
https://www.trellix.com/en-us/about/newsroom/stories/research/shining-light-on-dark-power.html
https://www.securityinfo.it/2023/03/30/dark-power-nuovo-ransomware/
