Τι είναι το DarkBit Ransomware;

Κατά τη διερεύνηση νέων ποικιλιών κακόβουλου λογισμικού, η ομάδα μας συνάντησε το DarkBit - ένα ransomware που λειτουργεί κρυπτογραφώντας δεδομένα και απαιτώντας λύτρα για αποκρυπτογράφηση. Με την εκκίνηση ενός δείγματος του DarkBit, αρχίζει αμέσως η κρυπτογράφηση αρχείων και η μετονομασία τους με μια τυχαία συμβολοσειρά χαρακτήρων και την επέκταση ".Darkbit".

Μόλις ολοκληρώθηκε η διαδικασία κρυπτογράφησης, το DarkBit δημιούργησε μια σημείωση λύτρων με το όνομα "RECOVERY_DARKBIT.txt" και την άφησε στην επιφάνεια εργασίας. Σε αντίθεση με άλλες σημειώσεις για λύτρα, το μήνυμα του DarkBit ξεκίνησε με μια πολιτική παρωδία, η οποία υπονοεί ότι το ransomware προοριζόταν να στοχεύσει μεγάλες οντότητες όπως εταιρείες αντί για οικιακούς χρήστες.

Σύμφωνα με το σημείωμα λύτρων, τα αρχεία κρυπτογραφήθηκαν χρησιμοποιώντας τον κρυπτογραφικό αλγόριθμο AES-256 και τα ευαίσθητα δεδομένα εξήχθησαν. Η σημείωση προειδοποιεί τα θύματα να μην χρησιμοποιούν εργαλεία ή υπηρεσίες ανάκτησης τρίτων, που μπορεί να οδηγήσει σε μόνιμη απώλεια δεδομένων.

Οι εισβολείς απαιτούν λύτρα 80 BTC (κρυπτονομίσματα Bitcoin) για τα κλειδιά/εργαλεία αποκρυπτογράφησης, τα οποία ισοδυναμούν με περίπου 1,7 εκατομμύρια USD (ανάλογα με τις συναλλαγματικές ισοτιμίες). Το ποσό των λύτρων είναι ενδεικτικό ότι το ransomware συνήθως δεν αξιοποιείται έναντι των οικιακών χρηστών. Το σημείωμα υποδεικνύει επίσης ότι εάν δεν ληφθούν μέτρα εντός 48 ωρών, το ποσό των λύτρων θα αυξηθεί κατά 30%, και πέντε ημέρες αργότερα, οι εισβολείς θα θέσουν τα κλεμμένα δεδομένα προς πώληση.

Το DarkBit Ransom Note γίνεται πολιτικό

Το πλήρες κείμενο του αρχείου "RECOVERY_DARKBIT.txt" που περιέχει τη σημείωση λύτρων έχει ως εξής:

Αγαπητοί συνάδελφοι,
Λυπούμαστε που σας ενημερώνουμε ότι χρειάστηκε να χακάρουμε πλήρως το δίκτυο Technion και να μεταφέρουμε "όλα" τα δεδομένα στους ασφαλείς διακομιστές μας.
Οπότε, ψυχραιμία, πάρτε μια ανάσα και σκεφτείτε ένα καθεστώς απαρτχάιντ που προκαλεί προβλήματα που και που.
Πρέπει να πληρώσουν για τα ψέματα και τα εγκλήματά τους, τα ονόματα και τις ντροπές τους. Πρέπει να πληρώσουν για την κατοχή, τα εγκλήματα πολέμου κατά της ανθρωπότητας,
σκοτώνοντας τους ανθρώπους (όχι μόνο τα σώματα των Παλαιστινίων, αλλά και τις ψυχές των Ισραηλινών) και καταστρέφοντας το μέλλον και όλα τα όνειρα που είχαμε.
Θα πρέπει να πληρώσουν για την απόλυση ειδικών υψηλής ειδίκευσης.

Τέλος πάντων, δεν υπάρχει τίποτα για εσάς (ως άτομο) να ανησυχείτε.
Αυτό είναι το καθήκον της διοίκησης να ακολουθήσει τις οδηγίες μας για την ανάκτηση του δικτύου.
Ωστόσο, μπορείτε να επικοινωνήσετε μαζί μας μέσω του TOX messenger εάν θέλετε να ανακτήσετε προσωπικά τα αρχεία σας. (Αναγνωριστικό TOX: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

Οι οδηγίες μας για τη διοίκηση:
Όλα τα αρχεία σας είναι κρυπτογραφημένα χρησιμοποιώντας τον αλγόριθμο στρατιωτικού βαθμού AES-256. Ετσι,

1. Μην προσπαθήσετε να ανακτήσετε δεδομένα, επειδή τα κρυπτογραφημένα αρχεία δεν μπορούν να ανακτηθούν εκτός εάν έχετε το κλειδί.
   Οποιαδήποτε προσπάθεια ανάκτησης δεδομένων χωρίς κλειδί (χρησιμοποιώντας εφαρμογές/εταιρείες τρίτων) προκαλεί ΜΟΝΙΜΗ ζημιά. Πάρτε το στα σοβαρά.
2. Πρέπει να μας εμπιστευτείτε. Αυτή είναι η δουλειά μας (μετά από απολύσεις από εταιρείες υψηλής τεχνολογίας) και η φήμη είναι το μόνο που έχουμε.
3. Το μόνο που χρειάζεται να κάνετε είναι να ακολουθήσετε τη διαδικασία πληρωμής και, στη συνέχεια, θα λάβετε το κλειδί αποκρυπτογράφησης που χρησιμοποιείται για την επιστροφή όλων των αρχείων και των VM σας.
4. Μέθοδος πληρωμής:
   Εισαγάγετε τον παρακάτω σύνδεσμο
   hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support

Εισαγάγετε το αναγνωριστικό παρακάτω και πληρώστε τον λογαριασμό (80 BTC)

Θα λάβετε κλειδί αποκρυπτογράφησης μετά την πληρωμή.

Παρατηρήστε ότι έχετε μόλις 48 ώρες. Μετά τη λήξη της προθεσμίας, στην τιμή θα προστεθεί πρόστιμο 30%.
Βάζουμε δεδομένα προς πώληση μετά από 5 ημέρες.
Πάρτε το στα σοβαρά και μην ακούτε τις πιθανές συμβουλές μιας ανόητης κυβέρνησης.

Καλή τύχη!
DarkBit

Γιατί ορισμένες παραλλαγές Ransomware όπως το DarkBit επιλέγουν να στοχεύουν εταιρείες έναντι οικιακών χρηστών;

Σύμφωνα με το σημείωμα λύτρων που άφησε το DarkBit, φαίνεται να στοχεύει μεγάλες οντότητες όπως εταιρείες και όχι οικιακούς χρήστες. Ενώ τα ακριβή κίνητρα των δημιουργών ransomware μπορεί να διαφέρουν, ένας πιθανός λόγος για τη στόχευση εταιρειών είναι η δυνατότητα για μεγαλύτερες πληρωμές. Οι εταιρείες μπορεί να έχουν πιο πολύτιμα ή ευαίσθητα δεδομένα από μεμονωμένους χρήστες και μπορεί να είναι πρόθυμες να πληρώσουν μεγαλύτερα λύτρα για να αποφύγουν τη διακοπή και την πιθανή νομική ευθύνη που θα μπορούσε να προκύψει από παραβίαση δεδομένων. Επιπλέον, οι εταιρείες ενδέχεται να έχουν λιγότερο ισχυρά μέτρα ασφαλείας σε σύγκριση με τους οικιακούς χρήστες, γεγονός που τις καθιστά πιο ευάλωτες σε επιθέσεις. Ωστόσο, είναι σημαντικό να σημειωθεί ότι οποιοσδήποτε οργανισμός ή άτομο μπορεί να γίνει στόχος επίθεσης ransomware, ανεξάρτητα από το μέγεθος ή τον κλάδο του.