Please wait...
SOLUTIONS CORNER
กลุ่มโจมตี Dark Power เรียกค่าไถ่ผู้เสียหายกว่า10ราย

New Dark Power ransomware ได้โจมตีเรียกค่าไถ่ผู้ใช้งานกว่า 10 รายในช่วงต้นเดือนมีนาคมที่ผ่านมา

 
New Dark Power ransomware claims 10 victims in its first month

มีการดำเนินการเรียกค่าไถ่โดยใช้ชื่อ Dark Power ปรากฏตัวขึ้น และได้เปิดเผยรายชื่อผู้เสียหายบนเว็บไซต์มืด โดยผู้โจมตีรายนี้ขู่ว่าจะเปิดเผยข้อมูลหากไม่มีการจ่ายเงินตามที่เรียกค่าไถ่ไว้
 
กลุ่มผู้โจมตีนี้ได้เริ่มขึ้นเมื่อวันที่ 29 มกราคม 2023 นับเป็นวันเริ่มต้นการโจมตี
 
นอกจากนี้ ยังไม่มีการแจ้งเตือนใดๆ เกี่ยวกับกาารดำเนินการนี้บนเว็บไซต์มืดอื่นๆ เลย ซึ่งหมายความว่า แผนการมีความเป็นส่วนตัวอย่างมาก
 
ตามที่ Trellix ได้วิเคราะห์ไว้ว่า กลุ่ม Dark Power นี้มีการกำเนินการเรียกค่าไถ่โดยมีเป้าหมายเป็นองค์กรทั่วไปทั่วโลก ซึ่งจำนวนเงินที่เรียกค่าไถ่ก็ไม่สูงมากแค่เพียง 10,000 เหรียญเท่านั้น
 

รายละเอียดการโจมตีของ Dark Power

 
Dark Power ใช้ payload ที่เขียนด้วยภาษาโปรแกรมที่เรียกว่า Nim ซึ่งเป็นภาษาโปรแกรมที่สามารถทำงานได้บนหลายแพลตฟอร์ม และมีความเร็วในการประมวลผลที่ดีกว่าภาษาโปรแกรมอื่นๆ และเหมาะกับการใช้งานในแอปพลิเคชันที่มีประสิทธิภาพสูงอย่าง ransomware
 
และเนื่องจาก Nim เริ่มเป็นที่นิยมอย่างมากในกลุ่มผู้ใช้งานแบบผิดๆ ซึ่งเป็นวิธีที่มักจะถูกตรวจสอบไม่พบจากเครืองมือป้องกันการโจมตีแบบทั่วไป
 
Trellix ไม่ได้ระบุรายละเอียดเกี่ยวกับจุดที่ Dark Power ใช้เจาะระบบ แต่อาจเป็นผลจากการใช้งานในเรื่องส่วนตัว การใช้งานอีเมลล์ส่วนตัว หรือวิธีการอื่นๆ
 
เมื่อรันระบบ ตัว Ransomware นี้จะสร้างตัวแปร 64 ตัวอักษร ASCII โดยสุ่มเลือกขึ้นมาเพื่อเริ่มต้นการเข้ารหัสไฟล์ โดยใช้กลไกการเข้ารหัสแบบสุ่มและใช้กุญแจที่ไม่ซ้ำกันในแต่ละครั้งที่มีการรันระบบ ต่อมา ransomware จะหยุดทำงานที่อยู่บนเครื่องเหยื่อเพื่อเปิดที่เก็บไฟล์สำหรับการเข้ารหัส และลดอุปสรรคของกระบวนการล็อคไฟล์
 
ในระหว่างขั้นตอนนี้ ransomware จะทำการหยุดการทำงาน Volume Shadow Copy (VSS) การสำรองข้อมูล และโปรแกรมต้านไวรัสในระบบของมัน
 
เมื่อขั้นตอนเหล่านั้นถูกหยุดทำงานแล้ว ransomware จะหยุดการทำงานไปเป็นเวลา 30 วินาที และล้างคอนโซล รวมถึงบันทึกระบบ Windows เพื่อป้องกันการวิเคราะห์ข้อมูลจากผู้เชี่ยวชาญด้านการกู้คืนข้อมูล
 
ไฟล์ที่ถูกเข้ารหัสจะใช้วิธีการเข้ารหัสแบบ AES (โหมด CRT) และมีการสร้างสตริง ASCII ขึ้นมาในขั้นตอนการเปิดใช้งาน และเมื่อการเข้ารหัสเสร็จสิ้นแล้ว ไฟล์ที่ผลลัพธ์จะถูกเปลี่ยนชื่อด้วยนามสกุล ".dark_power"
 
น่าสนใจอย่างยิ่งเมื่อพบว่ามีการใช้งานโปรแกรม ransomware ถึง 2 เวอร์ชัน โดยแต่ละรุ่นก็มีวิธีการสร้างรหัสที่แตกต่างกันออกไป
 
ในรุ่นแรกของ ransomware จะใช้วิธีสร้างชุดคำสั่ง SHA-256 กับ ASCII string แล้วแบ่งผลลัพธ์เป็นสองส่วน โดยส่วนแรกเป็น AES key และส่วนที่สองเป็น initialization vector (nonce)
รุ่นที่สองใช้การย่อ SHA-256 เป็น AES key และใช้ค่าคงที่ขนาด 128 บิตเป็นการเข้ารหัส ณ ตอนนั้น
 
ในขั้นตอนนั้นไฟล์ที่เป็นไปได้ว่าจะเป็นไฟล์ที่สำคัญต่อระบบ เช่น DLLs, LIBs, INIs, CDMs, LNKs, BINs, MSIs และโฟลเดอร์ของโปรแกรมและเว็บเบราว์เซอร์ จะไม่ถูกเข้ารหัส เพื่อให้เครื่องคอมพิวเตอร์ที่ถูกเจาะยังสามารถทำงานได้ ทำให้โจมตีสามารถดูข้อมูลและขโมยข้อมูลได้
 
ข้อความเรียกค่าไถ่ที่แก้ไขล่าสุดเมื่อวันที่ 9 กุมภาพันธ์ 2023 โดยจะให้ผู้เสียหายส่งเงินจำนวน 10,000 ดอลลาร์ ในรูปแบบของ XMR (Monero) ไปยังที่อยู่กระเป๋าเงินที่ระบุไว้ ภายในเวลา 72 ชั่วโมง
 
รายละเอียดการแจ้งเตือนเรียกค่าไถ่ของ Dark Power นั้นเป็นไฟล์ PDF 8 หน้า ประกอบด้วยข้อมูลเกี่ยวกับขั้นตอนและวิธีการติดต่อกับผู้โจมตีผ่านทาง qTox messenger ซึ่งไม่เหมือนกับการทำงานของกลุ่ม ransomware ทั่วไป
 

ผู้เสียหายและกิจกรรมของผู้โจมตี

 
ขณะที่เขียนข้อความนี้ เว็บไซต์ Tor ของ Dark Power ไม่สามารถเข้าถึงได้ แต่อย่างไรก็ตาม มักจะเป็นเรื่องปกติที่เว็บไซต์ของ ransomware จะถูกปิดชั่วคราวเมื่อมีการเจรจาต่อรองกับเหยื่อ
 
ทาง Trellix รายงานว่าพวกเขาได้พบผู้เสียหายสิบราย โดยมาจากสหรัฐอเมริกา ฝรั่งเศส อิสราเอล ตุรกี เช็กสโลวาเกีย แอลจีเรีย เอเจียต์ และเปรู ดังนั้นขอบเขตของเป้าหมายการโจมตีนี้มีการกระจายอยู่ทั่วโลก
 
กลุ่ม Dark Power อ้างว่าได้โจมตีระบบเครือข่ายขององค์กรเหล่านี้และขู่ว่าจะเผยแพร่ข้อมูลหากไม่จ่ายเงินเรียกค่าไถ่ ดังนั้น กลุ่มนี้จึงนับว่าเป็น double-extortion อีกกลุ่มหนึ่ง

ที่มา: 
https://bit.ly/3U63RvY

ควิกเซิร์ฟ
สินค้า
งานระบบ
บริการ
กิจกรรม
ออนไลน์