New Dark Power ransomware claims 10 victims in its first month
แรนซัมแวร์ตัวใหม่ที่ชื่อว่า Dark Power ได้ปรากฏขึ้นและได้แสดงรายชื่อเหยื่อรายแรกบนไซต์ข้อมูลรั่วไหลของดาร์คเว็บ โดยขู่ว่าจะเผยแพร่ข้อมูลดังกล่าวหากไม่จ่ายค่าไถ่ การโจมตีดังกล่าวถูกพบเมื่อวันที่ 29 มกราคม 2023 นอกจากนี้การดำเนินการนี้ยังไม่ได้รับการสนับสนุนกลุ่มแฮ็กเกอร์หรือ dark web ดังนั้นจึงน่าจะเป็นความต้องการส่วนตัวของผู้โจมตีมากกว่า จากข้อมูลของ Trellix ซึ่งวิเคราะห์ว่า Dark Power เป็นแรนซัมแวร์ที่มีเป้าหมายไปยังองค์กรทั่วโลก โดยขอให้จ่ายค่าไถ่เพียงเล็กน้อยที่ 10,000 ดอลลาร์
การโจมตีของแรนซัมแวร์ Dark Power นั้นจะใช้เพย์โหลดที่เขียนขึ้นด้วยภาษา Nim ซึ่งสามารถใช้เขียนข้ามแพลตฟอร์มได้ นอกจากนี้ยังมีข้อดีด้านความเร็ว ทำให้เหมาะสำหรับแอปพลิเคชันที่ให้ความสำคัญกับประสิทธิภาพ เช่น แรนซัมแวร์ ภาษา Nim นั้นเพิ่งจะเริ่มได้รับความนิยมมากขึ้นในหมู่แฮ็กเกอร์ ซึ่งโดยทั่วไปแล้วภาษา Nim ถือเป็นตัวเลือกเฉพาะกลุ่มที่ไม่น่าจะถูกตรวจพบโดยเครื่องมือป้องกัน Trellix ไม่ได้ให้รายละเอียดเกี่ยวกับสิ่งที่ทำให้ติดแรนซัมแวร์ Dark Power แต่อาจเริ่มจากการโจมตีอื่นๆ เช่น ใช้การ exploit หรือ email phishing
เมื่อดำเนินการติดตั้งเรียบร้อยแล้วแรนซัมแวร์ Dark Power จะสร้าง string ASCII ที่มีความยาว 64-character แบบสุ่มสำหรับการเริ่มต้นอัลกอริทึมการเข้ารหัสด้วยคีย์เฉพาะในแต่ละการดำเนินการ จากนั้นแรนซัมแวร์จะทำการยุติบริการและกระบวนการบางอย่างในเครื่องของเหยื่อ เพื่อเพิ่มพื้นที่ว่างสำหรับไฟล์เข้ารหัส และลดโอกาสที่จะถูกขัดขวางขณะทำการล็อกไฟล์ ในระหว่างขั้นตอนนั้นแรนซัมแวร์จะยุติบริการ Volume Shadow Copy Service (VSS) บริการสำรองข้อมูลและผลิตภัณฑ์ป้องกันมัลแวร์ต่างๆ หลังจากยุติบริการทั้งหมดแรนซัมแวร์จะเข้าสู่ sleep mode เป็นเวลา 30 วินาที และทำการ clears logs console และ Windows เพื่อป้องกันการกู้คืนข้อมูล
https://www.bleepingcomputer.com/news/security/new-dark-power-ransomware-claims-10-victims-in-its-first-month/