最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

甜甜圈勒索组织也以勒索软件为目标

网络安全 快米云 来源:快米云 22浏览 0评论

甜甜圈勒索软件

甜甜圈(D0nut)勒索组织已被证实在对企业的双重勒索攻击中部署勒索软件。

BleepingComputer在 8 月首次报道了 Donut 勒索集团 ,将他们与对希腊天然气公司 DESFA、英国建筑公司 Sheppard Robson 和跨国建筑公司 Sando 的袭击联系起来。

奇怪的是,Sando 和 DESFA 的数据也被发布到几个勒索软件操作的网站上,Hive 勒索软件声称发起了 Sando 攻击,Ragnar Locker 声称发起了 DESFA。

Unit 42 研究员 Doel Santos表示,赎金记录中使用的 TOX ID 可以在 HelloXD 勒索软件的样本中看到。

这种被盗数据和附属关系的交叉发布让我们相信 Donut Leaks 背后的威胁行为者是众多行动的附属机构,现在正试图在他们自己的行动中将数据货币化。

甜甜圈勒索软件

本周,BleepingComputer 发现了用于 Donut 操作(又名 D0nut)的加密器样本 [ VirusTotal ],表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。

勒索软件仍在分析中,但在执行时,它会扫描匹配特定扩展名的文件进行加密。加密文件时,勒索软件会避开包含以下字符串的文件和文件夹:

Edge
ntldr
Opera
bootsect.bak
Chrome
BOOTSTAT.DAT
boot.ini
AllUsers
Chromium
bootmgr
Windows
thumbs.db
ntuser.ini
ntuser.dat
desktop.ini
bootmgr.efi
autorun.inf

当文件被加密时,Donut 勒索软件会将 .d0nut 扩展名附加到加密文件。因此,例如,1.jpg 将被加密并重命名为 1.jpg.d0nut,如下所示。

由 Donut 勒索软件加密的文件
由 Donut 勒索软件加密的文件
来源:news.zzqidc.com

Donut Leaks 操作具有戏剧天赋,使用有趣的图形,有点幽默,甚至为可执行文件提供构建器,作为其 Tor 数据泄漏站点的网关(见下文)。

这种天赋尤其体现在其赎金记录中,他们在其中使用了不同的 ASCII 艺术,例如下面旋转的 ASCII 甜甜圈。

甜甜圈赎金记录
甜甜圈赎金记录

news.zzqidc.com看到的另一个勒索软件笔记伪装成一个显示 PowerShell 错误的命令提示符,然后打印一个滚动的勒索笔记。

为了避免被发现,赎金票据被严重混淆,所有字符串都经过编码,JavaScript 在浏览器中解码赎金票据。

这些赎金票据包括联系威胁行为者的不同方式,包括通过 TOX 和 Tor 协商站点。 

甜甜圈赎金谈判网站
甜甜圈赎金谈判现场
图源:news.zzqidc.com

Donut 勒索软件操作还在其数据泄露站点上包含一个“构建器”,该构建器由一个 bash 脚本组成,用于创建 Windows 和 Linux Electron 应用程序,并带有捆绑的 Tor 客户端以访问其数据泄露站点。

甜甜圈勒索软件电子应用程序
D0nut 勒索软件 electron 应用程序

此应用目前已“损坏”,因为它使用目前无法运行的 HTTPS 网址。

总的来说,这个敲诈勒索团体值得关注,不仅因为他们明显的技能,还因为他们推销自己的能力。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 甜甜圈勒索组织也以勒索软件为目标

您必须 登录 才能发表评论!