甜甜圈(D0nut)勒索组织已被证实在对企业的双重勒索攻击中部署勒索软件。
BleepingComputer在 8 月首次报道了 Donut 勒索集团 ,将他们与对希腊天然气公司 DESFA、英国建筑公司 Sheppard Robson 和跨国建筑公司 Sando 的袭击联系起来。
奇怪的是,Sando 和 DESFA 的数据也被发布到几个勒索软件操作的网站上,Hive 勒索软件声称发起了 Sando 攻击,Ragnar Locker 声称发起了 DESFA。
Unit 42 研究员 Doel Santos还表示,赎金记录中使用的 TOX ID 可以在 HelloXD 勒索软件的样本中看到。
这种被盗数据和附属关系的交叉发布让我们相信 Donut Leaks 背后的威胁行为者是众多行动的附属机构,现在正试图在他们自己的行动中将数据货币化。
甜甜圈勒索软件
本周,BleepingComputer 发现了用于 Donut 操作(又名 D0nut)的加密器样本 [ VirusTotal ],表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。
勒索软件仍在分析中,但在执行时,它会扫描匹配特定扩展名的文件进行加密。加密文件时,勒索软件会避开包含以下字符串的文件和文件夹:
Edge
ntldr
Opera
bootsect.bak
Chrome
BOOTSTAT.DAT
boot.ini
AllUsers
Chromium
bootmgr
Windows
thumbs.db
ntuser.ini
ntuser.dat
desktop.ini
bootmgr.efi
autorun.inf
当文件被加密时,Donut 勒索软件会将 .d0nut 扩展名附加到加密文件。因此,例如,1.jpg 将被加密并重命名为 1.jpg.d0nut,如下所示。
来源:news.zzqidc.com
Donut Leaks 操作具有戏剧天赋,使用有趣的图形,有点幽默,甚至为可执行文件提供构建器,作为其 Tor 数据泄漏站点的网关(见下文)。
这种天赋尤其体现在其赎金记录中,他们在其中使用了不同的 ASCII 艺术,例如下面旋转的 ASCII 甜甜圈。
news.zzqidc.com看到的另一个勒索软件笔记伪装成一个显示 PowerShell 错误的命令提示符,然后打印一个滚动的勒索笔记。
为了避免被发现,赎金票据被严重混淆,所有字符串都经过编码,JavaScript 在浏览器中解码赎金票据。
这些赎金票据包括联系威胁行为者的不同方式,包括通过 TOX 和 Tor 协商站点。
图源:news.zzqidc.com
Donut 勒索软件操作还在其数据泄露站点上包含一个“构建器”,该构建器由一个 bash 脚本组成,用于创建 Windows 和 Linux Electron 应用程序,并带有捆绑的 Tor 客户端以访问其数据泄露站点。
此应用目前已“损坏”,因为它使用目前无法运行的 HTTPS 网址。
总的来说,这个敲诈勒索团体值得关注,不仅因为他们明显的技能,还因为他们推销自己的能力。
