0
0
Uma nascente gangue de ransomware entrou em cena com vigor, invadindo pelo menos 10 organizações em menos de um mês.
O grupo, que os pesquisadores da Trellix chamaram de “Dark Power”, é em muitos aspectos como qualquer outro grupo de ransomware. Mas ele se separa do pacote devido à velocidade e falta de tato – e ao uso da linguagem de programação Nim.
“Nós os observamos pela primeira vez na natureza no final de fevereiro”, observa Duy Phuc Pham, um dos autores de um post de blog na quinta-feira sobre o Dark Power . “Então, faz apenas meio mês e 10 vítimas já foram afetadas.”
O que é estranho é que parece não haver rima ou razão sobre quem é o alvo do Dark Power, disseram os pesquisadores da Trellix. O grupo aumentou sua contagem de corpos na Argélia, República Tcheca, Egito, França, Israel, Peru, Turquia e Estados Unidos, nos setores agrícola, educacional, de saúde, TI e manufatura.
Usando Nim como uma Vantagem
Outra maneira significativa pela qual o Dark Power se distingue é na escolha da linguagem de programação.
“Vemos que há uma tendência em que os cibercriminosos estão se estendendo para outras linguagens de programação”, diz Pham. A tendência está se espalhando rapidamente entre os agentes de ameaças . “Então, mesmo que eles estejam usando o mesmo tipo de tática, o malware escapará da detecção”.
Dark Power utiliza Nim, uma linguagem de alto nível que seus criadores descrevemcomo eficiente, expressiva e elegante. Nim era “uma linguagem um tanto obscura originalmente”, observaram os autores em sua postagem no blog, mas “agora é mais prevalente em relação à criação de malware. Os criadores de malware a usam porque é fácil de usar e possui recursos de plataforma cruzada. “
Também torna mais difícil para os mocinhos acompanharem. “O custo da manutenção contínua do conhecimento do lado defensor é maior do que a habilidade necessária do atacante para aprender um novo idioma”, de acordo com Trellix.
O que mais sabemos sobre o poder das trevas
Os próprios ataques seguem um manual de ransomware bem usado : vitimas de engenharia social por e-mail, baixando e criptografando arquivos, exigindo resgates e extorquindo vítimas várias vezes, independentemente de pagarem.
A quadrilha também pratica a clássica dupla extorsão . Mesmo antes que as vítimas saibam que foram violadas, o Dark Power “pode já ter coletado seus dados confidenciais”, explica Pham. “E então eles usam para o segundo resgate. Desta vez, eles dizem que, se você não pagar, vamos tornar a informação pública ou vendê-la na Dark Web.”
Como sempre, é um Catch-22, porque “não há garantia de que, se você pagar o resgate, não haverá consequências”.
Assim, as empresas precisam ter políticas e procedimentos para se proteger, incluindo a capacidade de detectar binários Nim.
“Eles podem tentar estabelecer sistemas robustos de backup e recuperação”, diz Pham. “Acho que isso é o mais importante. Também sugerimos que as organizações tenham um plano de resposta a incidentes muito preciso e poderoso antes que tudo isso aconteça. Com isso, elas podem reduzir o impacto do ataque caso ocorra .”
FONTE: DARK READING