多方受害！Donut勒索組織正對企業部署雙重勒索

BleepingComputer在8月首次報道了Donut 勒索集團，將他們與對希臘天然氣公司DESFA、英國建筑公司Sheppard Robson和跨國建筑公司Sando的襲擊聯系起來，證實Donut在對企業的雙重勒索攻擊中部署勒索軟件。

而近期，BleepingComputer再次發現了用于Donut操作的加密器樣本“VirusTotal”，進一步表明該組織正在使用自己定制的勒索軟件進行雙重勒索攻擊。奇怪的是，Sando和DESFA的數據也被發布到幾個勒索軟件操作的網站上，Hive勒索軟件聲稱發起了Sando攻擊，Ragnar Locker則聲稱發起了DESFA攻擊。

Unit 42研究員Doel Santos還表示：“贖金記錄中使用的TOX ID可以在HelloXD勒索軟件的樣本中看到。這種被盜數據和附屬關系的交叉發布讓我們相信Donut Leaks背后的威脅行為者是眾多行動的附屬機構，現在正試圖在他們自己的行動中將數據貨幣化。”、

Donut 勒索軟件介紹

對于Donut勒索軟件的分析仍在進行中。目前已知的是，在執行時，它會掃描匹配特定擴展名的文件進行加密。加密文件時，勒索軟件會避開包含以下字符串的文件和文件夾：

當文件被加密時，Donut勒索軟件會將.donut擴展名附加到加密文件。例如，1.jpg將被加密并重命名為1.jpg.donut。

由Donut勒索軟件加密的文件

Donut Leaks的操作非常獨特，其使用有趣的圖形，在攻擊中體現了一絲“幽默”。它甚至為可執行文件提供構建器，作為其Tor數據泄漏站點的網關。這種獨特尤其體現在其贖金記錄中，他們在其中使用了不同的ASCII藝術，例如旋轉的ASCII甜甜圈。

Donut贖金記錄

BleepingComputer看到的另一個勒索軟件筆記會偽裝成一個顯示PowerShell錯誤的命令提示符，然后打印一個滾動的勒索筆記。為了避免被發現，贖金票據被嚴重混淆，所有字符串都經過編碼，JavaScript在瀏覽器中解碼贖金票據。這些贖金票據包括聯系威脅行為者的不同方式，包括通過TOX和Tor協商站點。 

Donut贖金談判現場

Donut勒索軟件操作還在其數據泄露站點上包含一個“構建器”，該構建器由一個bash腳本組成，用于創建Windows和Linux Electron應用程序，并帶有捆綁的Tor客戶端以訪問其數據泄露站點

D0nut勒索軟件electron應用程序