Logotipo de Zephyrnet

Zoom Zoom: el ransomware 'Dark Power' extorsiona a 10 objetivos en menos de un mes

Fecha:

Una nueva banda de ransomware ha irrumpido en escena con vigor, vulnerando al menos 10 organizaciones en menos de un mes.

El grupo, que los investigadores de Trellix han llamado "Dark Power", es en la mayoría de los aspectos como cualquier otro grupo de ransomware. Pero se separa del resto debido a su gran velocidad y falta de tacto, y su uso del lenguaje de programación Nim.

“Los observamos por primera vez en la naturaleza a fines de febrero”, señala Duy Phuc Pham, uno de los autores de un jueves. publicación de blog que describe el poder oscuro. “Así que solo ha pasado medio mes y ya hay 10 víctimas afectadas”.

Lo extraño es que no parece haber rima o razón en cuanto a quién se dirige Dark Power, dijeron los investigadores de Trellix. El grupo ha aumentado su recuento de cadáveres en Argelia, República Checa, Egipto, Francia, Israel, Perú, Turquía y EE. UU., en los sectores de agricultura, educación, salud, TI y manufactura.

Usar Nim como una ventaja

Otra forma significativa en la que Dark Power se distingue es en su elección de lenguaje de programación.

“Vemos que hay una tendencia en la que los ciberdelincuentes se están extendiendo a otros lenguajes de programación”, dice Pham. la tendencia es rápida propagación entre los actores de amenazas. “Entonces, aunque estén usando el mismo tipo de tácticas, el malware evadirá la detección”.

Dark Power utiliza Nim, un lenguaje de alto nivel sus creadores describen tan eficiente, expresivo y elegante. Nim era "originalmente un lenguaje un poco oscuro", señalaron los autores en su publicación de blog, pero "ahora es más frecuente en lo que respecta a la creación de malware". Los creadores de malware lo usan porque es fácil de usar y tiene capacidades multiplataforma”.

También hace que sea más difícil para los buenos mantenerse al día. “El costo del mantenimiento continuo del conocimiento del lado defensor es más alto que la habilidad requerida del atacante para aprender un nuevo idioma”, según Trellix.

Qué más sabemos sobre el poder oscuro

Los propios ataques siguen una trillada manual de ransomware: víctimas de ingeniería social a través del correo electrónico, descargando y cifrando archivos, exigiendo rescates y extorsionando a las víctimas varias veces, independientemente de si pagan o no.

La pandilla también participa en doble extorsión clásica. Incluso antes de que las víctimas sepan que han sido violadas, Dark Power "podría ya haber recopilado sus datos confidenciales", explica Pham. “Y luego lo usan para el segundo rescate. Esta vez dicen que si no vas a pagar, vamos a hacer pública la información o venderla en la Dark Web”.

Sin embargo, como siempre, es un Catch-22 porque "no hay garantía de que si paga el rescate, no habrá consecuencias".

Por lo tanto, las empresas deben contar con políticas y procedimientos para protegerse, incluida la capacidad de detectar binarios de Nim.

“Pueden intentar establecer sistemas robustos de copia de seguridad y recuperación”, dice Pham. “Esto es, creo, lo más importante. También sugerimos que las organizaciones cuenten con un plan de respuesta a incidentes muy preciso y muy poderoso antes de que todo esto pueda suceder. Con eso, pueden reducir el impacto del ataque si ocurre”.

punto_img

Información más reciente

punto_img