27/03/2023    

BOLETÍN NRO 2023-197

Este ransomware aún no se ha promocionado en ningún foro ni en espacios de la Dark Web, por lo que es probable que se trate de un proyecto privado.

El payload de Dark Power estaba escrita en Nim, un lenguaje de programación multiplataforma con varias ventajas relacionadas con la velocidad, lo que lo hace adecuado para aplicaciones de rendimiento crítico como el ransomware.

Aunque aún no se conoce como inicia el ataque, se intuye que podría ser un exploit, algún correo electrónico de phishing u otros medios. Una vez ejecutado, el ransomware crea una cadena ASCII aleatoria de 64 caracteres para inicializar el algoritmo de cifrado con una clave única en cada ejecución.

A continuación, el ransomware finaliza servicios y procesos específicos en la máquina de la víctima para liberar archivos para el cifrado y minimizar las posibilidades de que algo bloquee el proceso.

Durante esta fase, el ransomware también detiene el servicio de copia de seguridad del volumen (VSS), los servicios de copia de seguridad de datos y los productos antimalware de su lista codificada.

Una vez eliminados todos los servicios anteriores, el ransomware permanece inactivo durante 30 segundos y borra los registros de la consola y del sistema Windows para evitar que los expertos en recuperación de datos puedan analizarlos.

El cifrado utiliza AES (modo CRT) y la cadena ASCII generada al iniciarse. Los archivos resultantes se renombran con la extensión ".dark_power". También, circularon dos versiones del ransomware, cada una con un esquema de clave de cifrado diferente.

La primera variante realiza el hash de la cadena ASCII con el algoritmo SHA-256 y luego divide el resultado en dos mitades, usando la primera como clave AES y la segunda como vector de inicialización. La segunda variante emplea el compendio SHA-256 como clave AES y un valor fijo de 128 bits como nonce de cifrado.

Los archivos críticos del sistema, como DLLs, LIBs, INIs, CDMs, LNKs, BINs y MSIs, así como los Archivos de Programa y las carpetas del navegador web, se excluyen del cifrado para mantener operativo el ordenador infectado, permitiendo así a la víctima ver la nota de rescate y contactar con los atacantes.

La nota de rescate de Dark Power destaca en comparación con otras operaciones de ransomware, ya que se trata de un documento PDF de 8 páginas que contiene información sobre lo sucedido y cómo ponerse en contacto con ellos a través del mensajero qTox.

Según los expertos se han observado víctimas en EE.UU., Francia, Israel, Turquía, República Checa, Argelia, Egipto y Perú, aunque está información no ha sido corroborada del todo.

Indicadores de Compromiso

Hash

MD5: 5e55339ce16c718983c435f51967153b

SHA256: 33c5b4c9a6c24729bb10165e34ae1cd2315cfce5763e65167bd58a57fde9a389

MD5: df134a54ae5dca7963e49d97dd104660

SHA256: 11ddebd9b22a3a21be11908feda0ea1e1aa97bc67b2dfefe766fcea467367394