freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

甜甜圈勒索组织正对企业部署双重勒索
Zicheng 2022-11-23 11:14:47 121001
所属地 上海

据BleepingComputer 11月22日消息称,名为甜甜圈(D0nut)的勒索软件组织正制定针对企业的双重勒索攻击策略。

今年8月,BleepingComputer首次报道了甜甜圈勒索软件组织,它们分别参与了对希腊天然气公司 DESFA、英国建筑公司 Sheppard Robson 和跨国建筑公司 Sando 的网络勒索攻击。

最近,BleepingComputer 发现了用于甜甜圈的加密器样本,表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。根据分析,加密器在执行时会扫描匹配特定扩展名的文件进行加密,并避开包含以下字符串的文件和文件夹:

Edge
ntldr
Opera
bootsect.bak
Chrome
BOOTSTAT.DAT
boot.ini
AllUsers
Chromium
bootmgr
Windows
thumbs.db
ntuser.ini
ntuser.dat
desktop.ini
bootmgr.efi
autorun.inf

当文件被加密时,Donut 勒索软件会将 .d0nut 扩展名附加到加密文件。因此,例如,1.jpg 将被加密并重命名为 1.jpg.d0nut。

甜甜圈勒索软件还会利用 ASCII 编码,制作富有个性化的赎金票据页面,如旋转的 ASCII 甜甜圈。

甜甜圈勒索软件的赎金票据

为了增强隐蔽性,赎金票据被严重混淆,所有字符串都被编码,要通过JavaScript在浏览器中对赎金票据进行解码。这些赎金票据包括联系攻击者的不同方式,例如通过 TOX 和 Tor 协商站点。

甜甜圈勒索软件还在其数据泄露站点上设置了一个构建器,由一个 bash 脚本组成,用于创建 Windows 和 Linux Electron 应用程序,并带有捆绑的 Tor 客户端以访问数据泄露站点。

BleepingComputer认为,该勒索组织不仅有较为突出的技能水平,而且还有一定的营销能力,需要对其引起足够的警惕。

参考来源:https://www.bleepingcomputer.com/news/security/donut-extortion-group-also-targets-victims-with-ransomware/

本文为 Zicheng 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
Zicheng LV.10
这家伙太懒了,还未填写个人描述!
  • 1032 文章数
  • 204 关注者
FreeBuf早报 | CS2 社区现“直播劫持”诈骗;各国开设“数据大使馆”以保护关键信息
2025-02-24
一周网安优质PDF资源推荐丨FreeBuf知识大陆
2025-02-21
FreeBuf周报 | 马斯克DOGE网站数据库存在漏洞;OpenSSH曝高危漏洞
2025-02-21