Une nouvelle opération de ransomware nommée « Dark Power » est apparue, et elle a déjà listé ses premières victimes sur un site de fuite de données du dark web, menaçant de publier les données si une rançon n’est pas payée.
Le chiffreur du gang de rançongiciels a une date de compilation du 29 janvier 2023, lorsque les attaques ont commencé.
De plus, l’opération n’a pas encore été promue sur des forums de pirates ou des espaces Web sombres ; il s’agit donc probablement d’un projet privé.
Selon Trellix, qui a analysé Dark Power, il s’agit d’une opération de ransomware opportuniste qui cible les organisations du monde entier, demandant des paiements de rançon relativement faibles de 10 000 $.
Détails de l’attaque Dark Power
La charge utile Dark Power a été écrite en Nim, un langage de programmation multiplateforme avec plusieurs avantages liés à la vitesse, ce qui la rend adaptée aux applications critiques en termes de performances comme les ransomwares.
De plus, étant donné que Nim commence seulement à devenir plus populaire parmi les cybercriminels, il est généralement considéré comme un choix de niche peu susceptible d’être détecté par les outils de défense.
Trellix ne fournit pas de détails concernant le point d’infection de Dark Power, mais il pourrait s’agir d’un exploit, d’e-mails de phishing ou d’autres moyens.
Lors de l’exécution, le ransomware crée une longue chaîne ASCII aléatoire de 64 caractères pour initialiser l’algorithme de chiffrement avec une clé unique à chaque exécution.
Ensuite, le ransomware met fin à des services et processus spécifiques sur la machine de la victime afin de libérer des fichiers pour le cryptage et de minimiser les risques que quoi que ce soit bloque le processus de verrouillage des fichiers.
Au cours de cette étape, le ransomware arrête également le service de cliché instantané des volumes (VSS), les services de sauvegarde de données et les produits anti-malware dans sa liste codée en dur.
Une fois tous les services ci-dessus supprimés, le ransomware dort pendant 30 secondes et efface la console et les journaux système Windows pour empêcher l’analyse par des experts en récupération de données.
Le cryptage utilise AES (mode CRT) et la chaîne ASCII générée au lancement. Les fichiers résultants sont renommés avec l’extension « .dark_power ».
Fait intéressant, deux versions du ransomware ont circulé dans la nature, chacune avec un schéma de clé de cryptage différent.
La première variante hache la chaîne ASCII avec l’algorithme SHA-256, puis divise le résultat en deux moitiés, en utilisant la première comme clé AES et la seconde comme vecteur d’initialisation (nonce).
La deuxième variante utilise le résumé SHA-256 comme clé AES et une valeur fixe de 128 bits comme nonce de chiffrement.
Les fichiers critiques du système tels que les DLL, les LIB, les INI, les CDM, les LNK, les BIN et les MSI, ainsi que les fichiers de programme et les dossiers du navigateur Web, sont exclus du chiffrement pour maintenir l’ordinateur infecté opérationnel, permettant ainsi à la victime de voir la rançon notez et contactez les agresseurs.
La note de rançon, qui a été modifiée pour la dernière fois le 9 février 2023, donne aux victimes 72 heures pour envoyer 10 000 $ en XMR (Monero) à l’adresse de portefeuille fournie pour obtenir un décrypteur fonctionnel.
La note de rançon de Dark Power se démarque par rapport aux autres opérations de ransomware car il s’agit d’un document PDF de 8 pages contenant des informations sur ce qui s’est passé et comment les contacter via le messager qTox.
Victimes et activité
Au moment d’écrire ceci, le site Tor de Dark Power était hors ligne. Cependant, il n’est pas rare que les portails de rançongiciels se déconnectent périodiquement à mesure que les négociations avec les victimes se développent.
Trellix rapporte qu’il a vu dix victimes des États-Unis, de France, d’Israël, de Turquie, de République tchèque, d’Algérie, d’Égypte et du Pérou, de sorte que la portée du ciblage est mondiale.
Le groupe Dark Power prétend avoir volé des données sur les réseaux de ces organisations et menace de les publier s’ils ne paient pas la rançon, c’est donc encore un autre groupe de double extorsion.