En ce mois de mars, l’Advanced Research Center de Trellix a découvert un nouveau gang de ransomware de double extorsion cherchant à se faire un nom : Le Dark Power.
Selon les chercheurs de Trellix, ce groupe de hackers ne semble pas cibler un secteur ou un pays particulier et opère de façon opportuniste et particulièrement couteuse pour les victimes. Il utilise un ransomware qui a pour originalité qu’il génère une clé de décryptage unique à chaque attaque, ce qui rend particulièrement difficile la création d’une règle de détection générique.
Une fois que les attaquants ont accès à l’ordinateur de leur victime, leur stratégie d’attaque se divise en deux phases distinctes :
- Tout d’abord, un certain nombre de services (veeam, memtas, sql, mssql, backup, vss, sophos, svc$, et mepocs) sont désactivés sur le poste infecté, en plus de la sauvegarde et la protection contre les malwares. L’objectif : augmenter les chances que la victime paye la rançon. Si la victime paye la rançon, les services ne seront toutefois pas rétablis.
- Débute alors la seconde phase de l’attaque où des données sensibles sont dérobées à la victime. Si cette dernière refuse de payer une deuxième rançon, les attaquants menacent ensuite de rendre publiques ces informations et de vendre sur le dark web.
Pour plus d’informations, veuillez consulter le blog Trellix.