Il numero di ransomware continua ad aumentare, così come gli attacchi contro aziende che operano in diversi settori. Il nuovo arrivato si chiama Dark Power, apparso per la prima volta a fine gennaio. Secondo gli esperti di Trellix, l’omonimo gruppo di cybercriminali ha colpito almeno 10 organizzazioni con la classica doppia estorsione. Fortunatamente l’attuale versione del malware viene rilevata e bloccata dalla maggioranza delle soluzioni di sicurezza.
Dark Power: dettagli dell’attacco
Dark Power è scritto in Nim, un linguaggio di programmazione multi-piattaforma che offre diversi vantaggi, tra cui prestazioni elevate e difficoltà di rilevamento. I ricercatori di Trellix non hanno trovato il punto di ingresso, ma probabilmente gli attacchi sono stati effettuati tramite phishing o exploit. La catena di infezione prevede innanzitutto la terminazione di vari servizi e processi, tra cui quelli associati a software di backup, database, browser, client email e applicazioni Office.
Viene quindi effettuata la ricerca dei file da cifrare, escludendo quelli che servono per mantenere operativo il sistema. Successivamente vengono azzerati i log per prevenire l’analisi e avviato il processo di cifratura. In ogni directory viene quindi copiato un file PDF con le istruzioni da seguire per pagare il riscatto di 10.000 dollari in Monero. La vittima deve accedere ad un sito Tor e inviare il denaro entro 72 ore. In caso contrario, tutti i dati verranno pubblicati online.
Gli attacchi sono stati effettuati contro 10 aziende che si trovano in Algeria, Repubblica Ceca, Egitto, Francia, Israele, Perù, Turchia e Stati Uniti. Il gruppo Dark Power è nato da pochi mesi, quindi si prevedono altri attacchi in futuro.
Ti potrebbe interessare
27 mar 2023