Gelişmekte olan bir fidye yazılımı çetesi, bir aydan kısa bir süre içinde en az 10 kuruluşa sızarak büyük bir güçle sahneye çıktı.
Trellix araştırmacılarının “Dark Power” adını verdiği grup, birçok yönden diğer herhangi bir fidye yazılımı grubu gibidir. Ancak, katıksız hızı ve incelik eksikliği ve Nim programlama dilini kullanması nedeniyle kendisini paketten ayırır.
Perşembe gününün yazarlarından Duy Phuc Pham, “Onları ilk olarak Şubat ayının sonlarında vahşi doğada gözlemledik” diyor. Dark Power profil oluşturma blog gönderisi. “Yani sadece yarım ay oldu ve şimdiden 10 kurban etkilendi.”
Trellix araştırmacıları, Dark Power’ın kimi hedef aldığına dair hiçbir kafiye veya sebep olmamasının tuhaf olduğunu söyledi. Grup, tarım, eğitim, sağlık, bilişim ve imalat sektörlerinde Cezayir, Çek Cumhuriyeti, Mısır, Fransa, İsrail, Peru, Türkiye ve ABD’deki ölü sayısını artırdı.
Nim’i Avantaj Olarak Kullanmak
Dark Power’ın diğer bir önemli özelliği de programlama dili seçimidir.
Pham, “Siber suçluların diğer programlama dillerine yayıldığı bir eğilim olduğunu görüyoruz” diyor. Trend, tehdit aktörleri arasında hızla yayılıyor. “Yani, aynı tür taktikleri kullanıyor olsalar bile, kötü amaçlı yazılım tespit edilmekten kurtulacak.”
Dark Power, üst düzey bir dil olan Nim’i kullanır yaratıcıları anlatıyor verimli, etkileyici ve zarif. Yazarlar, blog gönderilerinde Nim’in “başlangıçta biraz belirsiz bir dil olduğunu”, ancak “kötü amaçlı yazılım oluşturma açısından artık daha yaygın olduğunu” belirtti. “
Aynı zamanda iyi adamların ayak uydurmasını zorlaştırır. Trellix’e göre “Savunan tarafın sürekli olarak bilgiyi sürdürmesinin maliyeti, saldırganın yeni bir dil öğrenmek için gereken becerisinden daha yüksek.”
Karanlık Güç Hakkında Başka Ne Biliyoruz?
Saldırıların kendisi, eskimiş bir fidye yazılımı oyun kitabını takip ediyor: Kurbanları e-posta yoluyla sosyal mühendislik, dosya indirme ve şifreleme, fidye talep etme ve kurbanları ödeyip ödememelerine bakılmaksızın birçok kez zorla alma.
Ekip ayrıca klasik çifte şantaj yapıyor. Pham, kurbanlar ihlal edildiğini anlamadan önce bile Dark Power’ın “hassas verilerini zaten toplamış olabileceğini” açıklıyor. “Sonra da ikinci fidye için kullanıyorlar. Bu kez, eğer ödemezsen bilgiyi herkese açık hale getireceğiz ya da Dark Web’de satacağız diyorlar.”
Yine de her zaman olduğu gibi, bu bir Catch-22, çünkü “fidyeyi öderseniz herhangi bir sonuç çıkmayacağının garantisi yok.”
Bu nedenle, işletmelerin kendilerini korumak için Nim ikili dosyalarını tespit etme yeteneği de dahil olmak üzere politika ve prosedürlere sahip olmaları gerekir.
Pham, “Güçlü yedekleme ve kurtarma sistemleri kurmaya çalışabilirler” diyor. “Bence en önemli şey bu. Ayrıca, tüm bunlar gerçekleşmeden önce kuruluşların çok kesin, çok güçlü bir olay müdahale planına sahip olmalarını öneriyoruz. Bununla birlikte, meydana gelmesi durumunda saldırının etkisini azaltabilirler. .”