Dikutip dari https://cyberdefenseinsight.blogspot.com – Dark Power adalah ransomware baru yang ditemukan oleh Trellix, sebuah organisasi yang menganalisis ancaman siber. Menurut laporan, ransomware ini adalah operasi opportunistic yang menargetkan organisasi di seluruh dunia, menuntut pembayaran relatif kecil sebesar $10.000. Payload Dark Power ditulis dalam bahasa pemrograman Nim, sebuah bahasa pemrograman cross-platform yang memiliki beberapa keuntungan untuk aplikasi yang membutuhkan kinerja tinggi seperti ransomware. Karena Nim tidak banyak digunakan oleh penjahat siber, itu dianggap sebagai pilihan yang niche yang tidak mungkin terdeteksi oleh alat pertahanan.
Setelah dieksekusi, ransomware ini membuat string ASCII sepanjang 64 karakter untuk menginisialisasi algoritma enkripsi dengan kunci unik pada setiap jalan. Ransomware kemudian menghentikan layanan dan proses tertentu pada mesin korban untuk membebaskan file untuk enkripsi dan meminimalkan kemungkinan terhalangnya proses penguncian file. Selama tahap ini, Dark Power juga menghentikan Volume Shadow Copy Service (VSS), layanan backup data, dan produk anti-malware dalam daftar hardcoded-nya.
File sistem kritis, seperti DLL, LIB, INI, CDM, LNK, BIN, dan MSI, bersama dengan folder Program Files dan browser web, dikecualikan dari enkripsi untuk menjaga komputer terinfeksi tetap beroperasi, memungkinkan korban untuk melihat catatan tebusan dan menghubungi penyerang.
Catatan tebusan Dark Power adalah dokumen PDF delapan halaman yang berisi informasi tentang apa yang terjadi dan bagaimana cara menghubungi penyerang melalui messenger qTox. Catatan tebusan tersebut menonjol di antara operasi ransomware lain karena memberikan informasi terperinci tentang serangan dan instruksi untuk komunikasi.
Catatan tebusan memberi korban waktu 72 jam untuk mengirimkan $10.000 dalam XMR (Monero) ke alamat dompet yang disediakan untuk mendapatkan decryptor yang berfungsi. Kelompok Dark Power mengklaim telah mencuri data dari jaringan sepuluh korban dari Amerika Serikat, Prancis, Israel, Turki, Republik Ceko, Aljazair, Mesir, dan Peru, dan mengancam akan mempublikasikannya jika mereka tidak membayar tebusan, sehingga menjadikannya serangan doble-ekstorsi.
Halaman pemerasan korban Dark Power tidak dapat diakses pada saat penulisan, tetapi tidak jarang bagi portal ransomware untuk offline secara periodik saat negosiasi dengan korban berkembang.
Kelompok ransomware Dark Power adalah ancaman serius bagi semua orang, karena mereka tidak berfokus pada area geografis atau sektor tertentu. Untuk menghindari menjadi korban serangan seperti ini, individu dan organisasi harus memastikan bahwa mereka memiliki tindakan backup yang memadai dan mengedukasi diri dan tim mereka tentang cara menghindari serangan semacam itu.
Menurut TTP MITRE, Dark Power menggunakan Nim, yang mudah digunakan dan memiliki kemampuan cross-platform.
Hal ini sangat penting terutama karena Dark Power menggunakan bahasa pemrograman yang belum banyak digunakan oleh para pelaku kejahatan siber. Oleh karena itu, organisasi-organisasi perlu meningkatkan sistem keamanan mereka dan menambahkan perlindungan terhadap serangan yang menggunakan bahasa pemrograman ini.
Selain itu, organisasi juga perlu memastikan bahwa sistem backup mereka berfungsi dengan baik dan dijalankan secara teratur. Jika suatu saat terjadi serangan ransomware seperti Dark Power, backup sistem dapat membantu memulihkan data yang hilang tanpa perlu membayar tebusan yang diminta oleh para pelaku kejahatan.
Selain itu, penting untuk terus mengedukasi diri sendiri dan tim keamanan tentang serangan ransomware dan cara menghindarinya. Ini termasuk mempelajari cara mengenali email phishing, menghindari mengunduh lampiran dari sumber yang tidak dikenal, serta memperbarui perangkat lunak keamanan secara teratur.
Dalam hal ini, upaya yang dilakukan oleh Trellix untuk mengidentifikasi ancaman seperti Dark Power adalah sangat penting untuk membantu organisasi memahami jenis serangan baru yang muncul dan bagaimana cara melindungi diri mereka dari serangan tersebut.
