DarkWorld Ransomware
Det ser ud til, at flere og flere skabere af ransomware begynder at udvide omfanget af deres truende kreationer ud over kun at kryptere data på de kompromitterede enheder. For at øge den gearing, de har over deres ofre, begynder hackerne at indsamle følsomme data fra det inficerede system, før krypteringsrutinen initialiseres. De exfiltrerede data kan derefter bruges som en ekstra forhandlingschip, når de forhandler løsepenge med offeret eller bortauktioneres til konkurrenter fra den brudte organisation. En af de seneste trusler mod ransomware, der viser en sådan adfærd, er DarkWorld Ransomware.
Analyse af DarkWolrd Ransomware afslører, at truslen for det meste fungerer som typisk ransomware. Det er målrettet mod en bred vifte af populære filtyper og krypteret dem med en ikke-knækkelig krypteringsalgoritme. De filer, der er berørt af truslen, er: .dll, .jpg, .exe, .rar, .docx, .zip, .txt, .html, .php, .pdf, .xls, .xlsx, .ppt, .png, .jpeg, .mp4, .avi, .mp3, .iso, .tar, .tgz, .gz, .sql, .db, .apk, .js, .css, .scss, .cab, .bin og .lua . Sammenfattende fokuserer DarkWorld på arkiver, billeder, video- og lydfiler og databaser. Med hensyn til krypteringsprocessen anvender truslen Rijndael-krypteringsalgoritmen. Hver låst fil vil have '.dark' vedhæftet sit oprindelige navn som en ny udvidelse. Løsesumnoten for truslen slettes som en tekstfil med navnet 'Important.txt.'
Datahøstningsfunktionaliteten i DarkWorld manifesterer sig, når truslen støder på en tekstfil, der er mindre end 2 MB i størrelse. Alle filer, der opfylder disse kriterier, uploades til cyberkriminelternes server, inden de krypteres. For at undgå at forårsage kritiske fejl og forstyrre den normale drift af det inficerede systems OS, har DarkWorld en hardkodet liste over mapper, der skal undgås under sin krypteringsrutine.
Åbning af løsesumn efterladt af truslen afslører, at hackerne ønsker at modtage summen af $ 300, der skal betales i Bitcoin. Løsepenge skal sendes til den angivne krypto-tegnebog-adresse. Efter afslutningen af transaktionen forventes ofre for DarkWorld Ransomware at kontakte hackerne ved at sende en e-mail til følgende adresse - 'darksimo@protonmail.com.'
Tendensen med, at ransomware-trusler bliver mere og mere sofistikerede med udvidet truende funktionalitet, ser ud til at vokse. For at holde sig foran cyberkriminelle skal brugerne vælge et professionelt anti-malware-program, der kan tilpasses og tilbyder både pålidelige og innovative sikkerhedsløsninger.
