DarkWorld Ransomware

Het lijkt erop dat steeds meer makers van ransomware de reikwijdte van hun bedreigende creaties beginnen uit te breiden dan alleen het versleutelen van gegevens op de gecompromitteerde apparaten. Om de invloed die ze hebben op hun slachtoffers te vergroten, beginnen de hackers gevoelige gegevens van het geïnfecteerde systeem te verzamelen voordat de coderingsroutine wordt geïnitialiseerd. De geëxfiltreerde gegevens kunnen vervolgens worden gebruikt als een extra onderhandelingschip bij het onderhandelen over het losgeld met het slachtoffer of worden geveild aan concurrenten van de getroffen organisatie. Een van de nieuwste ransomwarebedreigingen die dergelijk gedrag vertoont, is de DarkWorld Ransomware.

Analyse van de DarkWolrd Ransomware onthult dat de dreiging voor het grootste deel fungeert als typische ransomware. Het richt zich op een breed scala aan populaire bestandstypen en versleutelde ze met een onkraakbaar versleutelingsalgoritme. De bestanden die door de dreiging worden beïnvloed zijn: .dll, .jpg, .exe, .rar, .docx, .zip, .txt, .html, .php, .pdf, .xls, .xlsx, .ppt, .png, .jpeg, .mp4, .avi, .mp3, .iso, .tar, .tgz, .gz, .sql, .db, .apk, .js, .css, .scss, .cab, .bin en .lua . Samenvattend richt DarkWorld zich op archieven, afbeeldingen, video- en audiobestanden en databases. Wat het versleutelingsproces betreft, gebruikt de dreiging het Rijndael-versleutelingsalgoritme. Bij elk vergrendeld bestand wordt '.dark' toegevoegd aan de oorspronkelijke naam als een nieuwe extensie. De losgeldnota van de dreiging zal worden verwijderd als een tekstbestand met de naam 'Important.txt'.

De data-harvesting-functionaliteit van DarkWorld manifesteert zich wanneer de dreiging een tekstbestand tegenkomt dat kleiner is dan 2 MB. Alle bestanden die aan die criteria voldoen, worden geüpload naar de server van de cybercriminelen voordat ze worden versleuteld. Om te voorkomen dat kritieke fouten worden veroorzaakt en de normale werking van het besturingssysteem van het geïnfecteerde systeem wordt verstoord, heeft DarkWorld een hardgecodeerde lijst met mappen die tijdens de coderingsroutine moeten worden vermeden.

Het openen van het losgeldbriefje dat door de dreiging is achtergelaten, onthult dat de hackers het bedrag van $ 300 willen ontvangen, te betalen in Bitcoin. Het losgeld moet naar het opgegeven adres van de crypto-portemonnee worden gestuurd. Na het voltooien van de transactie wordt van de slachtoffers van de DarkWorld Ransomware verwacht dat ze contact opnemen met de hackers door een e-mail te sturen naar het volgende adres - 'darksimo@protonmail.com'.

De trend dat ransomware-bedreigingen steeds geavanceerder worden met uitgebreide bedreigingsfunctionaliteit, lijkt te groeien. Om cybercriminelen voor te blijven, moeten gebruikers een professioneel antimalwareprogramma kiezen dat aanpasbaar is en zowel betrouwbare als innovatieve beveiligingsoplossingen biedt.