Dark Power Ransomware IOCs

ransomware IOC

Банда Dark Power ransomware - новая банда, которая пытается сделать себе имя. В

Dark Power Ransomware

По наблюдениям Trellix, у банды нет конкретного сектора или географической области, на которую она нацелена, так как они выглядят довольно беспринципными.

Изначально Nim был малоизвестным языком, но сейчас он получил широкое распространение при создании вредоносных программ. Создатели вредоносных программ используют его, поскольку он прост в использовании и обладает кросс-платформенными возможностями.
Инициализация ключа шифрования

При запуске программа создает рандомизированную строку ASCII длиной 64 символа в нижнем регистре. Эта строка в дальнейшем используется для инициализации алгоритма шифрования. Пример приведен на рисунке ниже. Рандомизация обеспечивает уникальность ключа при каждом выполнении образца, и, следовательно, он уникален на каждой целевой машине, что препятствует созданию универсального инструмента расшифровки. Для выполнения криптографических операций в образце используется библиотека Nimcrypto. Используемый криптографический алгоритм - AES CRT.

Строки в ransomware зашифрованы, что, вероятно, сделано для того, чтобы защитникам было сложнее создать общее правило обнаружения. Строки шифрованного текста присутствуют в двоичном файле в формате base64. После того как зашифрованная строка расшифрована, она расшифровывается с помощью фиксированного ключа, который представляет собой хэш SHA-256 жестко закодированной строки. Вектор инициализации (IV) также включен в двоичный файл, но каждый вызов расшифровки использует другой IV.

Приведенные  дизассемблированные инструкции используются для расшифровки строки, результатом которой является ".darkpower". IV загружается в "rdx", а "rax" используется для хранения закодированной в base64 и зашифрованной строки. Вызов функции "decrypt_AES_CTR" расшифровывает заданную строку.

Dark Power ransomware нацелена на определенные службы на компьютере жертвы. Она останавливает следующие службы: veeam, memtas, sql, mssql, backup, vss, sophos, svc$ и mepocs. Отключая эти службы, программа-вымогатель затрудняет жертве восстановление своих файлов, поскольку эти службы либо освобождают файлы (например, базы данных), что позволяет программе-вымогателю зашифровать их. Кроме того, останавливается служба теневого копирования тома (VSS), что является обычным делом для программ-вымогателей. VSS сохраняет теневые копии файлов.

Кроме того, останавливаются другие службы резервного копирования и защиты от вредоносных программ. В целом, цель заключается в том, чтобы увеличить вероятность того, что жертва заплатит требуемый выкуп. Если программа-вымогатель обнаружит какие-либо службы или процессы, соответствующие заданному списку, она выведет в консоль сообщение "[YES] in killing (service name)", как показано на рисунке ниже.

Подобно остановленным службам, завершаются процессы, которые часто блокируют файлы (например, связанные с офисной деятельностью). Программа-вымогатель запрашивает инструмент управления Windows Management Instrumentation (WMI) под названием "winmgmts: & {impersonationLevel=impersonate}!\root\cimv2" с запросом "select * from win32_process". Этот запрос возвращает список всех запущенных процессов. Все совпадения с предопределенными именами процессов завершаются. В списке присутствуют такие записи, как taskmgr.exe, steam.exe и firefox.exe, а также процессы Microsoft Office, такие как excel.exe, winword.exe, powerpnt.exe и visio.exe. Кроме того, ransomware нацелено на определенные процессы, связанные с управлением базами данных, включая sql.exe, oracle.exe и dbsnmp.exe, чтобы обеспечить процесс шифрования всех баз данных. Завершая эти процессы, ransomware стремится гарантировать, что она сможет завершить процесс шифрования, не столкнувшись с заблокированными файлами. Полный список имен процессов приведен ниже.

После того как все целевые службы и процессы остановлены и завершены, ransomware применяет еще один фильтр: исключение имен файлов, расширений файлов и имен папок. Для того чтобы жертва увидела записку с выкупом, требуется рабочая машина. Поэтому определенные файлы и папки, которые крайне важны для поддержания работоспособности системы, исключаются.

После уничтожения служб программа-вымогатель спит в течение 30 секунд и выполняет команду Windows "C:\Windows\system32\cmd.exe /c cls" для очистки консоли. В этом примере программа-вымогатель использует WMI-запрос "Select * from Win32_NTEventLogFile" и "ClearEventLog()" для очистки системных журналов. Очистка журналов - распространенная тактика, используемая программами-вымогателями для сокрытия следов и затруднения расследования атаки аналитиками. После этого она запускает процесс распространения выкупа и шифрования.

Каждая папка, которую перечислит ransomware, получит копию записки с выкупом (Рисунок 4). В отличие от обычных текстовых записок о выкупе, эта записка о выкупе представляет собой PDF-файл. Записка создана с помощью Adobe Illustrator 26.0 и последний раз была изменена 9 февраля 2023 года.

В записке о выкупе также указан сайт Tor (power[redacted].onion), на котором указаны предполагаемые жертвы (Рисунок 5) и идентификатор qTox (EBBB[redacted]) для чата. И сеть Tor, и мессенджер qTox обеспечивают анонимность благодаря децентрализованным серверам и протоколам связи. Заявленные жертвы показаны на рисунке ниже, где каждый прямоугольник - это логотип пострадавшей компании. На приведенном ниже рисунке логотипы размыты, чтобы не сообщать, кто является жертвами, но на сайте актера такого размытия нет.

Файлы, которые не были отфильтрованы, шифруются с помощью AES (режим CRT). Пути к зашифрованным файлам выводятся вместе со счетчиком в стандартный вывод, как показано на изображении ниже.

В природе существует две версии этой программы-вымогателя, каждая из которых имеет свой ключ шифрования и формат:

  1. В первом варианте полученный дайджест sha256 рандомизированного ключа делится на две половины. Первая половина используется в качестве ключа AES, а вторая - в качестве IV (nonce).
  2. Во втором варианте в качестве ключа шифрования AES используется полученный sha256-дайджест рандомизированного ключа, а в качестве кодового неса - фиксированное 128-битное значение "73 4B D9 D6 BA D5 12 A0 72 7F D6 4C 1E F4 96 87".

После полного шифрования содержимого файлов программа переименовывает зашифрованные файлы с расширением ".dark_power".

Indicators of Compromise

MD5

  • df134a54ae5dca7963e49d97dd104660

SHA1

  • 9bddcce91756469051f2385ef36ba8171d99686d

SHA256

  • 11ddebd9b22a3a21be11908feda0ea1e1aa97bc67b2dfefe766fcea467367394
  • 33c5b4c9a6c24729bb10165e34ae1cd2315cfce5763e65167bd58a57fde9a389
SEC-1275-1
Добавить комментарий