Новый шифровальщик Dark Power за месяц проник в 10 организаций

Новый шифровальщик Dark Power за месяц проник в 10 организаций

Новый шифровальщик Dark Power за месяц проник в 10 организаций

По данным Trellix, операторы новоявленного вымогателя не имеют географических и иных предпочтений. Сумма выкупа, который они требуют за ключ расшифровки, довольно скромна — $10 тысяч в монеро: в случае неуплаты злоумышленники грозят опубликовать или продать данные, которые якобы были украдены из атакованной сети.

Первые атаки Dark Power были зафиксированы в конце прошлого месяца, на тот момент на его сайте утечек в сети Tor числилось 10 жертв — организации разного профиля из восьми стран. Анализ семпла (уровень детектирования 44/68 на 27 марта) показал, что шифратор зловреда был скомпилирован 29 января.

Новая вымогательская программа не рекламируется в даркнете; не исключено, что это закрытый проект. Успех дебютанта отчасти объясняется выбором языка программирования; вредонос написан на Nim, который позволяет ускорить работу кода, проводить атаки на разных платформах, а также обходить антивирусы: вредоносы на этом языке программирования — пока редкость.

Вектор заражения Dark Power пока неясен. Для шифрования он использует AES в режиме CRT, при создании ключа каждый раз генерирует новую строку из 64 случайных символов ASCII (строчные буквы). К имени зашифрованных файлов добавляется расширение .dark_power.

Аналитики выявили две разные схемы формирования ключа. В одном случае создается хеш ASCII-строки (по SHA-256), и результат делится надвое: первая половина — собственно ключ AES, вторая — вектор инициализации (нонс). Второй вариант зловреда использует хеш-сумму SHA-256 как ключ и фиксированное 128-битное значение в качестве нонса.

Перед запуском шифратора вредонос, оперируя вшитым списком, завершает ряд процессов, чтобы высвободить файлы для шифрования. Он также останавливает Windows-службу теневого копирования томов (VSS), сервисы резервного копирования данных и антивирусную защиту.

Прибив заданные процессы, Dark Power затихает на 30 секунд, а затем очищает консоль и системные журналы, чтобы затруднить анализ с целью восстановления данных. Важные для работы ОС файлы зловред не трогает; после шифрования в каждой папке с обработанными данными создается записка с требованием выкупа.

Жертве предлагается в течение трех суток перевести средства на указанный XMR-кошелек. В качестве контакта для связи злоумышленники указали qTox ID. Формат записки Dark Power необычен: это 8-страничный документ PDF.

 

В минувшие выходные сайт утечек вымогателей в Tor был недоступен. Исследователи из Trellix обнаружили на нем имена жертв, прописанных в США, Франции, Израиле, Турции, Чехии, Алжире, Египте и Перу. Специализация у них различна: сельское хозяйство, образование, здравоохранение, ИТ, промышленное производство.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru