据BleepingComputer11月22日消息,名为Donut(D0nut)的勒索组织正在制定针对企业的双重勒索攻击策略。8月,BleepingComputer首次报道了Donut勒索软件组织参与了针对希腊天然气公司DESFA、英国建筑公司SheppardRobson和跨国建筑公司Sando的网络勒索攻击。最近,BleepingComputer发现了甜甜圈中使用的加密器样本,表明该组织正在使用他们自己定制的勒索软件进行双重勒索攻击。根据分析,加密器在执行时会扫描匹配特定扩展名的文件进行加密,并避免包含以下字符串的文件和文件夹:EdgentldrOperabootsect.bakChromeBOOTSTAT.DATboot.iniAllUsersChromiumbootmgrWindowsthumbs.dbntuser.inintuser.datdesktop.inibootmgr.efiautorun。infDonut勒索软件在加密文件时将.d0nut扩展名附加到加密文件。因此,例如,1.jpg将被加密并重命名为1.jpg.d0nut。Donut勒索软件还利用ASCII编码来创建个性化的赎金记录页面,例如旋转的ASCII甜甜圈。DonutRansomware的勒索字条为了加强隐蔽性,对勒索字条进行了高度混淆,所有字符串都进行了编码,需要在浏览器中通过JavaScript对勒索字条进行解码。这些赎金票据包括与攻击者联系的不同方式,例如通过TOX和Tor协商站点。Donut勒索软件还在其数据泄露站点上设置了一个构建器,该构建器由一个bash脚本组成,用于创建Windows和LinuxElectron应用程序,并使用捆绑的Tor客户端访问数据泄露站点。BleepingComputer认为,该勒索组织不仅技术水平比较突出,而且还具备一定的营销能力,需要引起足够的警惕。参考来源:https://www.bleepingcomputer.com/news/security/donut-extortion-group-also-targets-victims-with-ransomware/
