Ha aparecido una nueva operación de ransomware llamada Dark Power y ya ha enumerado a sus primeras víctimas en un sitio de fuga de datos de la web oscura, amenazando con publicar los datos si no se paga un rescate.
La criptomoneda de la banda de ransomware tiene una fecha de compilación del 29 de enero, cuando comenzaron los ataques. Además, la operación aún no se ha promocionado en ningún foro de piratas informáticos o espacios web oscuros, por lo que es probable que sea un proyecto privado.
Una vez que se eliminan todos los servicios, el ransomware hiberna durante 30 segundos y borra la consola de Windows y los registros del sistema para evitar el análisis por parte de expertos en recuperación de datos. El cifrado utiliza AES (modo CRT) y la cadena ASCII generada al inicio. Los archivos resultantes se renombran con la extensión .dark_power.
Curiosamente, dos versiones del ransomware circulaban libremente, cada una con un esquema de clave de cifrado diferente. La primera variante procesa la cadena ASCII con el algoritmo SHA-256 y luego divide el resultado en dos mitades, usando la primera como clave AES y la segunda como vector de inicialización (nonce). La segunda variante usa el resumen SHA-256 como la clave AES y un valor fijo de 128 bits como el nonce de cifrado.
Los archivos críticos del sistema, como DLL, LIB, INI, CDM, LNK, BIN y MSI, así como los archivos de programa y las carpetas del navegador web, se excluyen del cifrado para mantener la computadora infectada en funcionamiento, lo que permite a la víctima ver el rescate observar y contactar a los atacantes.
La nota de rescate, que se modificó por última vez el 9 de febrero, otorga a las víctimas 72 horas para enviar USD 10 000 en criptomonedas XMR (Monero) a la dirección de billetera proporcionada para obtener un descifrador que funcione.
La nota de rescate de Dark Power se destaca en comparación con otras operaciones de ransomware, ya que es un documento PDF de ocho páginas que contiene información sobre lo que sucedió y cómo contactarlos a través de qTox messenger.
Trellix informa haber identificado diez víctimas de EE. UU., Francia, Israel, Turquía, República Checa, Argelia, Egipto y Perú, por lo que el alcance del objetivo es global. El grupo Dark Power afirma haber robado datos de las redes de estas organizaciones y amenaza con publicarlos si no pagan el rescate, por lo que es otro grupo de doble extorsión más.
Fuente: CisoAdvisor
