Una pandilla de ransomware relativamente nueva llamada Dark Power está en libertad: piratea varias organizaciones en todo el mundo por una demanda de rescate asequible.

La pandilla ya ha enumerado más de 10 víctimas en la operación de su primer mes, mientras busca activamente a otras. Los investigadores señalan que Dark Power es un poco típico al usar un lenguaje de programación menos conocido y difundir dos variantes para golpear a las víctimas en consecuencia.

Una nueva pandilla de ransomware en estado salvaje

Los investigadores de Trellix han descubierto una nueva pandilla de ransomware llamada Dark Power , que últimamente está afectando activamente a organizaciones en varios países. A partir del 29 de enero de 2023, la pandilla Dark Power ya tiene más de 10 víctimas en su sitio web de red oscura, ¡esperando filtrar sus datos!

Se promociona que el ransomware Dark Power es ligeramente diferente al usar Nim , un lenguaje de programación multiplataforma con varias ventajas relacionadas con la velocidad, lo que lo hace apto para operaciones de ransomware.

Y dado que Nim es un lenguaje relativamente nuevo, la mayoría de las soluciones de seguridad no lo detectan. Si bien los investigadores no mencionaron cómo ataca Dark Power, dijeron que el grupo de ransomware crea una cadena ASCII aleatoria de 64 caracteres para iniciar el proceso de encriptación, con una clave única en cada ejecución.

Además, procede a finalizar servicios y procesos específicos en el sistema de la víctima para liberar archivos para el cifrado , al mismo tiempo que elimina las instantáneas de los datos para dificultar la recuperación más adelante. ¡Esto se vuelve aún más difícil con la pandilla de ransomware borrando la consola y los registros del sistema de Windows en el proceso!

Los archivos cifrados se renombran con la extensión ".dark_power", con ciertos tipos de archivos como DLL, LIB, INI, CDM, LNK, BIN, MSI, etc. excluidos del cifrado para mantener el sistema infectado en funcionamiento y permitir que la víctima vea la nota de rescate. y contacta con ellos.

Además de usar el lenguaje Nim, la pandilla Dark Power se destaca con una nota de rescate típica de un PDF de 8 páginas, que contiene detalles sobre cómo la víctima fue pirateada e instrucciones sobre cómo deben contactarlos a través de qTox messenger. La pandilla les da a las víctimas 72 horas para responder y obedecer su rescate de $10,000 en el formulario XMR (Monero).

Establecer el monto del rescate en una suma mucho más asequible es otra táctica para convencer a la organización de que lo pague, sin importarle mucho. Trellix señala a las víctimas de la pandilla Dark Power de todo el mundo, empujadas a través del método de doble extorsión como otros en este campo.