Cyberthreat.id – Perusahaan keamanan siber Trellix, mengungkapkan bahwa operasi ransomware baru bernama 'Dark Power' telah muncul, dan mendaftarkan 10 korban pertamanya di situs kebocoran data dark web.

Dark Power merupakan operasi ransomware oportunistik yang menargetkan organisasi di seluruh dunia, meminta pembayaran uang tebusan yang relatif kecil sebesar $10.000 atau senilai dengan Rp 151 Milyar. Kampanye Dark Power mulai dilakukan 29 Januari 2023, yang terlihat dari enkripsi pertama dilakukan.

Dikutip dari Bleeping Computer, Trellix mengatakan, muatan Dark Power ditulis dalam Nim, bahasa pemrograman lintas platform dengan beberapa keunggulan terkait kecepatan, membuatnya cocok untuk aplikasi yang sangat penting bagi kinerja seperti ransomware. Selain itu, karena Nim baru sekarang mulai menjadi lebih populer di kalangan penjahat dunia maya, Nim umumnya dianggap sebagai pilihan khusus yang tidak mungkin terdeteksi oleh alat pertahanan.

Trellix tidak memberikan detail mengenai titik infeksi Dark Power, tetapi bisa berupa exploit, email phishing, atau cara lain. Setelah dieksekusi, ransomware membuat string ASCII acak sepanjang 64 karakter untuk menginisialisasi algoritme enkripsi dengan kunci unik pada setiap eksekusi.

“Selanjutnya, ransomware menghentikan layanan dan proses tertentu pada mesin korban untuk membebaskan file untuk enkripsi dan meminimalkan kemungkinan apa pun yang memblokir proses penguncian file,” kata Trellix.

Selama tahap itu, ransomware juga menghentikan Volume Shadow Copy Service (VSS), layanan pencadangan data, dan produk anti-malware dalam daftar hardcode-nya. Setelah semua layanan di atas dimatikan, ransomware tidur selama 30 detik dan menghapus konsol dan log sistem Windows untuk mencegah analisis dari pakar pemulihan data. Enkripsi menggunakan AES (mode CRT) dan string ASCII dihasilkan saat diluncurkan. File yang dihasilkan diganti namanya dengan ekstensi ".dark_power".

Menariknya, dua versi ransomware beredar di alam liar, masing-masing dengan skema kunci enkripsi yang berbeda. Varian pertama meng-hash string ASCII dengan algoritme SHA-256, lalu membagi hasilnya menjadi dua bagian, menggunakan yang pertama sebagai kunci AES dan yang kedua sebagai vektor inisialisasi (nonce). Sementara, varian kedua menggunakan intisari SHA-256 sebagai kunci AES dan nilai tetap 128-bit sebagai nonce enkripsi.

File sistem penting seperti DLL, LIB, INI, CDM, LNK, BIN, dan MSI, serta File Program dan folder browser web, dikecualikan dari enkripsi untuk menjaga agar komputer yang terinfeksi tetap beroperasi, sehingga memungkinkan korban untuk melihat tebusan catat dan hubungi penyerang.

Berdasarkan catatan tebusan, yang terakhir diubah pada 9 Februari 2023, memberi korban waktu 72 jam untuk mengirim $10.000 dalam bentuk XMR (Monero) ke alamat dompet yang disediakan untuk mendapatkan dekripsi yang berfungsi. Catatan tebusan Dark Power menonjol dibandingkan dengan operasi ransomware lainnya karena merupakan dokumen PDF 8 halaman yang berisi informasi tentang apa yang terjadi dan cara menghubungi mereka melalui messenger qTox.

Trellix melaporkan bahwa telah melihat sepuluh korban dari AS, Prancis, Israel, Turki, Republik Ceko, Aljazair, Mesir, dan Peru, sehingga cakupan penargetan bersifat global. Grup Dark Power mengklaim telah mencuri data dari jaringan organisasi ini dan mengancam akan mempublikasikannya jika mereka tidak membayar uang tebusan, jadi ini adalah grup pemerasan ganda lainnya.