Grup pemerasan Donut (D0nut) telah dikonfirmasi untuk menyebarkan ransomware dalam serangan pemerasan ganda pada perusahaan.
BleepingComputer pertama kali dilaporkan pada kelompok pemerasan Donat pada bulan Agustus, mengaitkannya dengan serangan terhadap perusahaan gas alam Yunani DESFA, firma arsitektur Inggris Sheppard Robson, dan perusahaan konstruksi multinasional Sando.
Anehnya, data untuk Sando dan DESFA juga diposting ke beberapa situs operasi ransomware, dengan serangan Sando diklaim oleh ransomware Hive dan DESFA diklaim oleh Ragnar Locker.
Peneliti Unit 42 Doel Santos juga dibagikan bahwa ID TOX yang digunakan dalam catatan tebusan terlihat dalam sampel ransomware HelloXD.
Posting silang data dan afiliasi yang dicuri ini membuat kami percaya bahwa aktor ancaman di balik Donut Leaks adalah afiliasi dari berbagai operasi, yang sekarang mencoba memonetisasi data dalam operasi mereka sendiri.
Ransomware donat
Minggu ini, BleepingComputer menemukan sebuah sampel [VirusTotal] dari sebuah encryptor untuk operasi Donut, alias D0nut, menunjukkan bahwa grup tersebut menggunakan ransomware yang disesuaikan sendiri untuk serangan pemerasan ganda.
Ransomware masih dianalisis, tetapi ketika dieksekusi, itu akan memindai file yang cocok dengan ekstensi tertentu untuk dienkripsi. Saat mengenkripsi file, ransomware akan menghindari file dan folder yang berisi string berikut:
Edge
ntldr
Opera
bootsect.bak
Chrome
BOOTSTAT.DAT
boot.ini
AllUsers
Chromium
bootmgr
Windows
thumbs.db
ntuser.ini
ntuser.dat
desktop.ini
bootmgr.efi
autorun.inf
Saat file dienkripsi, ransomware Donut akan menambahkan file .donut ekstensi ke file terenkripsi. Jadi, misalnya 1.jpg akan dienkripsi dan diganti namanya menjadi 1.jpg.d0nut, seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
Operasi Donut Leaks memiliki bakat untuk sandiwara, menggunakan grafik yang menarik, sedikit humor, dan bahkan menawarkan pembangun untuk dapat dieksekusi yang bertindak sebagai pintu gerbang ke situs kebocoran data Tor mereka (lihat di bawah).
Bakat ini terutama ditunjukkan dalam catatan tebusan, di mana mereka menggunakan seni ASCII yang berbeda, seperti donat ASCII yang berputar di bawah ini.
Catatan ransomware lain yang dilihat oleh BleepingComputer berpura-pura menjadi prompt perintah yang menampilkan kesalahan PowerShell, yang kemudian mencetak catatan tebusan bergulir.
Catatan tebusan sangat dikaburkan untuk menghindari deteksi, dengan semua string dikodekan dan JavaScript mendekode catatan tebusan di browser.
Catatan tebusan ini mencakup berbagai cara untuk menghubungi pelaku ancaman, termasuk melalui TOX dan situs negosiasi Tor.
Sumber: BleepingComputer
Operasi Donut ransomware juga menyertakan “pembangun” di situs kebocoran data mereka yang terdiri dari skrip bash untuk membuat aplikasi Windows dan Linux Electron dengan klien Tor yang dibundel untuk mengakses situs kebocoran data mereka.
Aplikasi ini saat ini “rusak” karena menggunakan URL HTTPS, yang saat ini tidak beroperasi.
Secara keseluruhan, kelompok pemerasan ini adalah salah satu yang harus diperhatikan, tidak hanya karena keterampilan mereka yang tampak tetapi juga kemampuan mereka untuk memasarkan diri mereka sendiri.
