El Centro de Investigación Avanzada de Trellix ha descubierto una nueva banda de ransomware de doble extorsión que busca hacerse un nombre: Dark Power.

Según los investigadores de Trellix, este grupo de cibercriminales no parece tener como objetivo ningún sector o país en particular y opera de forma oportunista y con un alto coste para las víctimas. Utiliza un ransomware que es único en el sentido de que genera una clave de descifrado única para cada ataque, lo que hace especialmente difícil crear una regla de detección genérica.

Una vez que los atacantes tienen acceso al ordenador de la víctima, su estrategia de ataque se divide en dos fases distintas:

En primer lugar, se deshabilitan una serie de servicios (veeam, memtas, sql, mssql, backup, vss, sophos, svc$ y mepocs) en la máquina infectada, además de la copia de seguridad y la protección contra malware. El objetivo es aumentar las posibilidades de que la víctima pague el rescate. Sin embargo, si la víctima paga el rescate, los servicios no se restaurarán.

Entonces comienza la segunda fase del ataque, en la que se roban datos sensibles de la víctima. Si la víctima se niega a pagar un segundo rescate, los atacantes amenazan con hacer pública esta información y venderla en la dark web.

Info – Ciberseguridad Latam