Что такое программа-вымогатель DarkBit?

При исследовании новых штаммов вредоносного ПО наша команда наткнулась на DarkBit — программу-вымогатель, которая шифрует данные и требует выкуп за расшифровку. После запуска образца DarkBit он немедленно начинает шифровать файлы и переименовывать их со случайной строкой символов и расширением «.Darkbit».

Как только процесс шифрования был завершен, DarkBit создал записку с требованием выкупа под названием «RECOVERY_DARKBIT.txt» и оставил ее на рабочем столе. В отличие от других заметок о выкупе, сообщение DarkBit началось с политической тирады, из чего следует, что программа-вымогатель предназначалась для крупных организаций, таких как компании, а не для домашних пользователей.

Согласно записке о выкупе, файлы были зашифрованы с использованием криптографического алгоритма AES-256, а конфиденциальные данные были похищены. Примечание предостерегает жертв от использования сторонних инструментов или служб восстановления, которые могут привести к безвозвратной потере данных.

Злоумышленники требуют выкуп в размере 80 BTC (криптовалюта биткойн) за ключи/инструменты дешифрования, что эквивалентно примерно 1,7 миллиона долларов США (в зависимости от обменного курса). Сумма выкупа свидетельствует о том, что программа-вымогатель обычно не используется против домашних пользователей. В примечании также указано, что если в течение 48 часов не будет предпринято никаких действий, сумма выкупа увеличится на 30%, а через пять дней злоумышленники выставят украденные данные на продажу.

Записка о выкупе DarkBit становится политической

Полный текст файла «RECOVERY_DARKBIT.txt», содержащего примечание о выкупе, выглядит следующим образом:

Уважаемые коллеги,
С сожалением сообщаем вам, что нам пришлось полностью взломать сеть Технион и перенести «все» данные на наши защищенные серверы.
Итак, сохраняйте спокойствие, переведите дух и подумайте о режиме апартеида, который вызывает проблемы то здесь, то там.
Они должны заплатить за свою ложь и преступления, за свои имена и позор. Они должны платить за оккупацию, военные преступления против человечества,
убивая людей (не только тела палестинцев, но и души израильтян) и разрушая будущее и все наши мечты.
Они должны платить за увольнение высококвалифицированных специалистов.

В любом случае, вам (как личности) не о чем беспокоиться.
Это задача администрации выполнить нашу инструкцию по восстановлению сети.
Но вы можете связаться с нами через мессенджер TOX, если хотите восстановить свои файлы лично. (ID TOX: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

Наша инструкция для администрации:
Все ваши файлы зашифрованы с использованием алгоритма военного уровня AES-256. Так,

1. Не пытайтесь восстановить данные, потому что зашифрованные файлы невозможно восстановить, если у вас нет ключа.
   Любая попытка восстановления данных без ключа (с использованием сторонних приложений/компаний) приводит к ПОСТОЯННОМУ повреждению. Отнеситесь к этому серьезно.
2. Вы должны доверять нам. Это наш бизнес (после увольнения из высокотехнологичных компаний) и репутация - это все, что у нас есть.
3. Все, что вам нужно сделать, это выполнить процедуру оплаты, после чего вы получите ключ дешифрования, который будет использоваться для возврата всех ваших файлов и виртуальных машин.
4. Способ оплаты:
   Введите ссылку ниже
   hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support

Введите идентификатор ниже и оплатите счет (80 BTC)

Вы получите ключ расшифровки после оплаты.

Обратите внимание, что у вас всего 48 часов. По истечении указанного срока к цене будет добавлен штраф в размере 30%.
Выставляем данные на продажу через 5 дней.
Отнеситесь к этому серьезно и не слушайте возможных советов глупого правительства.

Удачи!
ДаркБит

Почему некоторые варианты программ-вымогателей, такие как DarkBit, выбирают таргетинг на компании, а не на домашних пользователей?

Согласно записке о выкупе, оставленной DarkBit, похоже, что она нацелена на крупные организации, такие как компании, а не на домашних пользователей. Хотя точные мотивы авторов программ-вымогателей могут различаться, одной из возможных причин нацеливания на компании является возможность получения более крупных выплат. Компании могут иметь более ценные или конфиденциальные данные, чем отдельные пользователи, и они могут быть готовы заплатить более крупный выкуп, чтобы избежать сбоев и потенциальной юридической ответственности, которые могут возникнуть в результате утечки данных. Кроме того, компании могут иметь менее надежные меры безопасности по сравнению с домашними пользователями, что делает их более уязвимыми для атак. Однако важно отметить, что любая организация или физическое лицо может стать целью атаки программ-вымогателей, независимо от их размера или отрасли.