BleepingComputer在8月首次报道了Donut 勒索集团,将他们与对希腊天然气公司DESFA、英国建筑公司Sheppard Robson和跨国建筑公司Sando的袭击联系起来,证实Donut在对企业的双重勒索攻击中部署勒索软件。
而近期,BleepingComputer再次发现了用于Donut操作的加密器样本“VirusTotal”,进一步表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。奇怪的是,Sando和DESFA的数据也被发布到几个勒索软件操作的网站上,Hive勒索软件声称发起了Sando攻击,Ragnar Locker则声称发起了DESFA攻击。
Unit 42研究员Doel Santos还表示:“赎金记录中使用的TOX ID可以在HelloXD勒索软件的样本中看到。这种被盗数据和附属关系的交叉发布让我们相信Donut Leaks背后的威胁行为者是众多行动的附属机构,现在正试图在他们自己的行动中将数据货币化。”
对于Donut勒索软件的分析仍在进行中。目前已知的是,在执行时,它会扫描匹配特定扩展名的文件进行加密。加密文件时,勒索软件会避开包含以下字符串的文件和文件夹:
当文件被加密时,Donut勒索软件会将.donut扩展名附加到加密文件。例如,1.jpg将被加密并重命名为1.jpg.donut。
Donut Leaks的操作非常独特,其使用有趣的图形,在攻击中体现了一丝“幽默”。它甚至为可执行文件提供构建器,作为其Tor数据泄漏站点的网关。这种独特尤其体现在其赎金记录中,他们在其中使用了不同的ASCII艺术,例如旋转的ASCII甜甜圈。
BleepingComputer看到的另一个勒索软件笔记会伪装成一个显示PowerShell错误的命令提示符,然后打印一个滚动的勒索笔记。为了避免被发现,赎金票据被严重混淆,所有字符串都经过编码,JavaScript在浏览器中解码赎金票据。这些赎金票据包括联系威胁行为者的不同方式,包括通过TOX和Tor协商站点。
Donut勒索软件操作还在其数据泄露站点上包含一个“构建器”,该构建器由一个bash脚本组成,用于创建Windows和Linux Electron应用程序,并带有捆绑的Tor客户端以访问其数据泄露站点
总的来说,这个敲诈勒索团体值得关注,不仅仅因为他们明显的技能,还因为他们推销自己的能力。
转自 E安全,原文链接:https://mp.weixin.qq.com/s/iclz2GKglxTW-dNQG4s-dg
封面来源于网络,如有侵权请联系删除
