DarkWorld Ransomware

Es scheint, dass immer mehr Ransomware-Entwickler beginnen, den Umfang ihrer bedrohlichen Kreationen über die reine Verschlüsselung von Daten auf den gefährdeten Geräten hinaus zu erweitern. Um die Hebelwirkung gegenüber ihren Opfern zu erhöhen, beginnen die Hacker, vertrauliche Daten vom infizierten System zu sammeln, bevor die Verschlüsselungsroutine initialisiert wird. Die exfiltrierten Daten können dann als zusätzlicher Verhandlungschip verwendet werden, wenn das Lösegeld mit dem Opfer ausgehandelt oder an Konkurrenten der verletzten Organisation versteigert wird. Eine der neuesten Ransomware-Bedrohungen für die Anzeige eines solchen Verhaltens ist die DarkWorld Ransomware.

Die Analyse der DarkWolrd-Ransomware zeigt, dass die Bedrohung größtenteils als typische Ransomware fungiert. Es zielt auf eine Vielzahl gängiger Dateitypen ab und verschlüsselt diese mit einem nicht knackbaren Verschlüsselungsalgorithmus. Die von der Bedrohung betroffenen Dateien sind: .dll, .jpg, .exe, .rar, .docx, .zip, .txt, .html, .php, .pdf, .xls, .xlsx, .ppt, .png, .jpeg, .mp4, .avi, .mp3, .iso, .tar, .tgz, .gz, .sql, .db, .apk, .js, .css, .scss, .cab, .bin und .lua . Zusammenfassend konzentriert sich DarkWorld auf Archive, Bilder, Video- und Audiodateien und Datenbanken. Für den Verschlüsselungsprozess verwendet die Bedrohung den Rijndael-Verschlüsselungsalgorithmus. An jede gesperrte Datei wird '.dark' als neue Erweiterung an ihren ursprünglichen Namen angehängt. Der Lösegeldschein der Bedrohung wird als Textdatei mit dem Namen "Important.txt" gelöscht.

Die Datenerfassungsfunktion von DarkWorld zeigt sich, wenn die Bedrohung auf eine Textdatei mit einer Größe von weniger als 2 MB stößt. Alle Dateien, die diese Kriterien erfüllen, werden vor der Verschlüsselung auf den Server der Cyberkriminellen hochgeladen. Um kritische Fehler zu vermeiden und den normalen Betrieb des Betriebssystems des infizierten Systems zu beeinträchtigen, verfügt DarkWorld über eine fest codierte Liste von Verzeichnissen, die während der Verschlüsselungsroutine vermieden werden müssen.

Das Öffnen des Lösegeldscheins, den die Bedrohung hinterlassen hat, zeigt, dass die Hacker die in Bitcoin zu zahlende Summe von 300 US-Dollar erhalten möchten. Das Lösegeld sollte an die angegebene Crypto Wallet-Adresse gesendet werden. Nach Abschluss der Transaktion wird von Opfern der DarkWorld Ransomware erwartet, dass sie die Hacker kontaktieren, indem sie eine E-Mail an die folgende Adresse senden: "darksimo@protonmail.com".

Der Trend, dass Ransomware-Bedrohungen mit erweiterten Bedrohungsfunktionen immer ausgefeilter werden, scheint zuzunehmen. Um Cyberkriminellen einen Schritt voraus zu sein, müssen Benutzer ein professionelles Anti-Malware-Programm auswählen, das anpassungsfähig ist und sowohl zuverlässige als auch innovative Sicherheitslösungen bietet.