Dark Power という 新種のランサムウェア:すでに脅迫が開始されている

New Dark Power ransomware claims 10 victims in its first month

2023/03/25 BleepingComputer — Dark Power という名の新たなランサムウェア・オペレーションが登場し、ダークウェブのデータ漏洩サイトに最初の被害者をリストアップし、身代金を支払わなければデータを公開すると脅迫している。このランサムウェア・グループのエンクリプターの日付を見ると、攻撃が開始された 2023年1月29日にコンパイルされたものだった。さらに、現時点のハッカー・フォーラムやダークウェブ・スペースでは、このオペレーションのプロモーションが行われていないため、プライベート・プロジェクトである可能性が高い。

Dark Power を分析した Trellix によると、これは世界中のオペレーターをターゲットにした日和見的なランサムウェア・オペレーションあり、$10,000 という、比較的少額の身代金の支払いを要求しているそうだ。

Dark Power の攻撃内容

Dark Power のペイロードは、クロス・プラットフォームのプログラミング言語である Nim で書かれている。そのため、速度に関するいくつかの利点があり、ランサムウェアのようなパフォーマンスが重要なアプリケーションに適した選択だと言える。また、Nim はサイバー犯罪者たちに、ようやく採用され始めた段階であるため、一般的には防御ツールで検出されにくいニッチな選択肢だと考えられている。

Dark Power の感染箇所について、Trellix は詳細を明らかにしていないが、エクスプロイトやフィッシング・メールなどの可能性があるようだ。

このランサムウェアが実行されると、ランダム化された 64 文字の長さの ASCII 文字列が作成され、それぞれの実行ごとにユニークなキーを用いて、暗号化アルゴリズムが初期化される。

続いて、被害者のマシン上の特定のサービス/プロセスを終了させ、暗号化のためにファイルを解放し、ファイルロック・プロセスをブロックする可能性を最小限に抑える。この段階において、ボリューム・シャドウ・コピー・サービス (VSS) /データ・バックアップ・サービス/ハードコードされたリストにあるマルウェア対策製品も停止させられる。

Terminated processes and services
終了したプロセス/サービス (Trellix)

上記のサービスがすべて終了した後に、このランサムウェアは 30秒間スリープし、コンソール/Windows システム・ログをクリアし、データ復旧の専門家による分析を妨害する。暗号化には AES (CRTモード) と起動時に生成される ASCII 文字列が使用される。出来上がったファイルは、.dark_power という拡張子でリネームされる。

興味深いことに、このランサムウェアの2つのバージョンが野放し状態で流通しており、それぞれが異なる暗号化キー・スキームを持っている。

1つ目のバージョンは、ASCII 文字列を SHA-256 アルゴリズムでハッシュし、その結果を2つに分割して、1つ目を AES キーとして、2つ目を初期化ベクター nonce として使用する。

2番目のバリアントは、SHA-256 ダイジェストを AES キーとして使用し、128 Bit の固定値を暗号化 nonce として使用する。

DLL/LIB/INI/CDM/LNK/BIN/MSI などのクリティカルなシステム・ファイルや、Program Files/Web ブラウザ・フォルダなどは、暗号化の対象外となり、感染したコンピュータのオペレーションを維持する。したがって、被害者は身代金のメモを閲覧し、攻撃者に連絡できるようになる。

Files and folders excluded from encryption
暗号化から除外されるファイル/フォルダ (Trellix)

2023年2月9日に更新された最新のランサム・ノートは、被害者に対する通知として、72時間以内に XMR (Monero) で$10,000 を指定ウォレット・アドレスに送信し、動作する復号化装置を手に入れるよう促している。

Dark Power のランサム・ノートは、8ページのPDF文書で構成されており、何が起こったのかを知らせ、qTox メッセンジャーで連絡する方法などを記載している点で、他のランサムウェア・オペレーションと比べて際立っている。

The first page of the ransom note
ランサム・ノートの最初のページ (Trellix)
ターゲットとアクティビティ

この記事の執筆時点では、Dark Power の Tor サイトはオフラインになっている。しかし、ランサムウェアのポータルが、被害者との交渉が進展するにつれて、定期的にオフラインになることは珍しいことではない。

Trellix によると、アメリカ/フランス/イスラエル/トルコ/チェコ/アルジェリア/エジプト/ペルーなどので 10件の被害が確認されており、ターゲットの範囲はグローバルであることがわかる。

Dark Power's extortion page
Dark Power の被害者恐喝ページ (Trellix)

Dark Power グループは、被害者とされる組織のネットワークから、データを盗んだと主張し、身代金が支払われない場合には公開すると脅している。その点で、二重恐喝のグループだと言えるだろう。

新たなランサムウェア・グループだとされる Dark Power ですが、新参者だとすると、手際が良すぎる感じがします。2022年の Conti シャットダウン以降において、脅威アクターたちの再配置が生じているはずですが、ランサムウェアのオペレーション・ノウハウも、ものすごい勢いでコモディティ化しているのでしょう。よろしければ、カテゴリ Ransomware を、ご参照ください。

%d bloggers like this: