新勒索軟件團伙 Dark Power 浮出水面

忽然間，Dark Power 浮出水面，并且試圖快速成為業內有話語權的犯罪團伙。本文討論了 Dark Power 勒索軟件的細節，包括攻擊者披露的相關被竊數據與受害者信息。根據分析人員的觀察，該團伙并不針對特定部門或者地區進行攻擊。

樣本文件

【勒索軟件樣本文件】

Nim 是一種晦澀難懂的編程語言，攻擊者越來越多地將其應用于開發惡意軟件中，看中了它開發方便且原生跨平臺的能力。

加密密鑰初始化

勒索軟件 Dark Power 會創建一個隨機的 64 字符長的小寫 ASCII 字符，主要用于初始化加密算法。如下所示，隨機確保了每次執行樣本文件時密鑰都是唯一的，防止開發通用解密工具。Nimcrypto 庫被用于進行加密，算法使用的是 AES CRT。

【初始化字符串】

字符串加密

勒索軟件 Dark Power 中的各種字符串都是加密的，以阻礙創建通用的檢測規則。密文以 base64 編碼的形式存在于二進制文件中，解碼后使用固定的密鑰進行解密。解密密鑰為硬編碼字符串的 SHA256 哈希值，加密算法所需的 IV 向量也被嵌入樣本文件中，但會根據需要進行調用。

【解密反匯編代碼】

上述的反匯編代碼用于解密字符串，輸出為 .darkpower。將 IV 向量加載至 RDX 中，并且將存儲 base64 編碼與加密后的字符串加載至 RAX 中，最后調用 decrypt_AES_CTR 函數進行解密。解密后的字符串如下所示：

【解密后的字符串】

終止服務

勒索軟件 Dark Power 會終止失陷主機上特定服務，例如 veeam、memtas、sql、mssql、backup、vss、sophos、svc$ 與 mepocs。這些服務占用的文件也都被釋放并且加密，勒索軟件可以更進一步達成更大的影響。當然，卷影副本服務（VSS）也沒被落下。

此外，各種數據備份與反惡意軟件服務也會被終止。如果勒索軟件檢測到任何與預定義列表匹配的服務或進程，就會將其終止，如下所示：

【終止 VSS 服務】

進程終止

與服務類似，影響文件加密的進程也會被終止。勒索軟件使用 WMI 命令獲取 winmgmts: & {impersonationLevel=impersonate}!.\root\cimv2有關所有正在運行的進程列表，目標進程將全部終止。

預置列表中，不僅有任務管理器、瀏覽器以及 Office 相關程序，也有數據庫程序。完整列表如下所示：

【終止進程列表】

排除加密

一旦所有目標服務與進程都被終止，勒索軟件會針對文件利用文件名、擴展名與文件夾名進行過濾。對系統正常運行至關重要的文件與文件夾會被排除在外，完整列表如下所示：

【排除的擴展名】

【排除的文件】

【排除的文件夾】

清除日志

終止所有服務后，勒索軟件在休眠 30 秒后通過執行 C:\Windows\system32\cmd.exe /c cls來清理控制臺痕跡。并且，還會使用 WMI 命令 Select * from Win32_NTEventLogFile與 ClearEventLog()來清理系統日志。清除日志是勒索軟件用于掩蓋蹤跡并阻礙分析人員調查的常用手段，后續就會開始加密行為。

【清除控制臺痕跡】

勒索信息

每個文件夾中都會放置勒索信息，與常見的純文本勒索信息不同，Dark Power 選擇使用 PDF 文件作為勒索信息。該文件通過 Adobe Illustrator 26.0 創建，最后修改日期為 2023 年 2 月 9 日。

【勒索信息】

攻擊者勒索一萬美元的門羅幣，并且要求受害者使用 Tor 與 qTox 與其進行通信。攻擊者會告知受害者已經有哪些其他的組織也已經被攻陷，但公司的徽標經過模糊處理。

【網頁截圖】

數據加密

文件使用 CRT 模式的 AES 算法進行加密，加密文件路徑會在標準輸出中打印，如下所示。

加密文件路徑

勒索軟件有兩個版本，每個版本都有不同的加密密鑰與格式：

• 在第一個變種中，生成的隨機密鑰的 SHA-256 被分為兩部分。前半部分作為 AES 密鑰，后半部分作為 IV 向量。
• 在第二個變種中，生成的隨機密鑰的 SHA-256 作為 AES 密鑰，IV 向量則是固定的 73 4B D9 D6 BA D5 12 A0 72 7F D6 4C 1E F4 96 87

文件被加密后會重命名為 .dark_power擴展名。

威脅情報

Dark Power 勒索軟件團伙也是使用雙重勒索的團伙之一，發現的勒索軟件樣本本身并不會上傳任何文件，可能是通過其他組件在勒索軟件部署前就完成了上傳。

Dark Power 勒索軟件團伙在全球范圍內活動，阿爾及利亞、捷克、埃及、法國、以色列、秘魯、土耳其與美國都存在受害者。根據其網站披露的信息，受害者的行業分布排名為教育、IT、醫療保健、制造業與食品生產。

結論

惡意軟件開發者使用各種編程語言（如 Nim、Golang 或者 Rust）都不稀奇，防御者維持安全的成本顯著高于學習一門新的語言。