New Dark Power ransomware ได้โจมตีเรียกค่าไถ่ผู้ใช้งานกว่า 10 รายในช่วงต้นเดือนมีนาคมที่ผ่านมา

New Dark Power ransomware claims 10 victims in its first month

มีการดำเนินการเรียกค่าไถ่โดยใช้ชื่อ Dark Power ปรากฏตัวขึ้น และได้เปิดเผยรายชื่อผู้เสียหายบนเว็บไซต์มืด โดยผู้โจมตีรายนี้ขู่ว่าจะเปิดเผยข้อมูลหากไม่มีการจ่ายเงินตามที่เรียกค่าไถ่ไว้

กลุ่มผู้โจมตีนี้ได้เริ่มขึ้นเมื่อวันที่ 29 มกราคม 2023 นับเป็นวันเริ่มต้นการโจมตี

นอกจากนี้ ยังไม่มีการแจ้งเตือนใดๆ เกี่ยวกับกาารดำเนินการนี้บนเว็บไซต์มืดอื่นๆ เลย ซึ่งหมายความว่า แผนการมีความเป็นส่วนตัวอย่างมาก

ตามที่ Trellix ได้วิเคราะห์ไว้ว่า กลุ่ม Dark Power นี้มีการกำเนินการเรียกค่าไถ่โดยมีเป้าหมายเป็นองค์กรทั่วไปทั่วโลก ซึ่งจำนวนเงินที่เรียกค่าไถ่ก็ไม่สูงมากแค่เพียง 10,000 เหรียญเท่านั้น

รายละเอียดการโจมตีของ Dark Power

Dark Power ใช้ payload ที่เขียนด้วยภาษาโปรแกรมที่เรียกว่า Nim ซึ่งเป็นภาษาโปรแกรมที่สามารถทำงานได้บนหลายแพลตฟอร์ม และมีความเร็วในการประมวลผลที่ดีกว่าภาษาโปรแกรมอื่นๆ และเหมาะกับการใช้งานในแอปพลิเคชันที่มีประสิทธิภาพสูงอย่าง ransomware

และเนื่องจาก Nim เริ่มเป็นที่นิยมอย่างมากในกลุ่มผู้ใช้งานแบบผิดๆ ซึ่งเป็นวิธีที่มักจะถูกตรวจสอบไม่พบจากเครืองมือป้องกันการโจมตีแบบทั่วไป

Trellix ไม่ได้ระบุรายละเอียดเกี่ยวกับจุดที่ Dark Power ใช้เจาะระบบ แต่อาจเป็นผลจากการใช้งานในเรื่องส่วนตัว การใช้งานอีเมลล์ส่วนตัว หรือวิธีการอื่นๆ

เมื่อรันระบบ ตัว Ransomware นี้จะสร้างตัวแปร 64 ตัวอักษร ASCII โดยสุ่มเลือกขึ้นมาเพื่อเริ่มต้นการเข้ารหัสไฟล์ โดยใช้กลไกการเข้ารหัสแบบสุ่มและใช้กุญแจที่ไม่ซ้ำกันในแต่ละครั้งที่มีการรันระบบ ต่อมา ransomware จะหยุดทำงานที่อยู่บนเครื่องเหยื่อเพื่อเปิดที่เก็บไฟล์สำหรับการเข้ารหัส และลดอุปสรรคของกระบวนการล็อคไฟล์

ในระหว่างขั้นตอนนี้ ransomware จะทำการหยุดการทำงาน Volume Shadow Copy (VSS) การสำรองข้อมูล และโปรแกรมต้านไวรัสในระบบของมัน

เมื่อขั้นตอนเหล่านั้นถูกหยุดทำงานแล้ว ransomware จะหยุดการทำงานไปเป็นเวลา 30 วินาที และล้างคอนโซล รวมถึงบันทึกระบบ Windows เพื่อป้องกันการวิเคราะห์ข้อมูลจากผู้เชี่ยวชาญด้านการกู้คืนข้อมูล

ไฟล์ที่ถูกเข้ารหัสจะใช้วิธีการเข้ารหัสแบบ AES (โหมด CRT) และมีการสร้างสตริง ASCII ขึ้นมาในขั้นตอนการเปิดใช้งาน และเมื่อการเข้ารหัสเสร็จสิ้นแล้ว ไฟล์ที่ผลลัพธ์จะถูกเปลี่ยนชื่อด้วยนามสกุล ".dark_power"

น่าสนใจอย่างยิ่งเมื่อพบว่ามีการใช้งานโปรแกรม ransomware ถึง 2 เวอร์ชัน โดยแต่ละรุ่นก็มีวิธีการสร้างรหัสที่แตกต่างกันออกไป

ในรุ่นแรกของ ransomware จะใช้วิธีสร้างชุดคำสั่ง SHA-256 กับ ASCII string แล้วแบ่งผลลัพธ์เป็นสองส่วน โดยส่วนแรกเป็น AES key และส่วนที่สองเป็น initialization vector (nonce)
รุ่นที่สองใช้การย่อ SHA-256 เป็น AES key และใช้ค่าคงที่ขนาด 128 บิตเป็นการเข้ารหัส ณ ตอนนั้น

ในขั้นตอนนั้นไฟล์ที่เป็นไปได้ว่าจะเป็นไฟล์ที่สำคัญต่อระบบ เช่น DLLs, LIBs, INIs, CDMs, LNKs, BINs, MSIs และโฟลเดอร์ของโปรแกรมและเว็บเบราว์เซอร์ จะไม่ถูกเข้ารหัส เพื่อให้เครื่องคอมพิวเตอร์ที่ถูกเจาะยังสามารถทำงานได้ ทำให้โจมตีสามารถดูข้อมูลและขโมยข้อมูลได้

ข้อความเรียกค่าไถ่ที่แก้ไขล่าสุดเมื่อวันที่ 9 กุมภาพันธ์ 2023 โดยจะให้ผู้เสียหายส่งเงินจำนวน 10,000 ดอลลาร์ ในรูปแบบของ XMR (Monero) ไปยังที่อยู่กระเป๋าเงินที่ระบุไว้ ภายในเวลา 72 ชั่วโมง

รายละเอียดการแจ้งเตือนเรียกค่าไถ่ของ Dark Power นั้นเป็นไฟล์ PDF 8 หน้า ประกอบด้วยข้อมูลเกี่ยวกับขั้นตอนและวิธีการติดต่อกับผู้โจมตีผ่านทาง qTox messenger ซึ่งไม่เหมือนกับการทำงานของกลุ่ม ransomware ทั่วไป

ผู้เสียหายและกิจกรรมของผู้โจมตี

ขณะที่เขียนข้อความนี้ เว็บไซต์ Tor ของ Dark Power ไม่สามารถเข้าถึงได้ แต่อย่างไรก็ตาม มักจะเป็นเรื่องปกติที่เว็บไซต์ของ ransomware จะถูกปิดชั่วคราวเมื่อมีการเจรจาต่อรองกับเหยื่อ

ทาง Trellix รายงานว่าพวกเขาได้พบผู้เสียหายสิบราย โดยมาจากสหรัฐอเมริกา ฝรั่งเศส อิสราเอล ตุรกี เช็กสโลวาเกีย แอลจีเรีย เอเจียต์ และเปรู ดังนั้นขอบเขตของเป้าหมายการโจมตีนี้มีการกระจายอยู่ทั่วโลก

กลุ่ม Dark Power อ้างว่าได้โจมตีระบบเครือข่ายขององค์กรเหล่านี้และขู่ว่าจะเผยแพร่ข้อมูลหากไม่จ่ายเงินเรียกค่าไถ่ ดังนั้น กลุ่มนี้จึงนับว่าเป็น double-extortion อีกกลุ่มหนึ่ง

ที่มา: https://bit.ly/3U63RvY