• 06/12/2022 01:53

Grupo de extorsión D0nut, la rosca del ransomware

(origen) Sergio González Muriel Nov 24, 2022 , , , , ,
Tiempo estimado de lectura: 2 minutos, 10 segundos

El grupo de extorsión D0nut, también llamado Donut Leaks, fue asociado en agosto a los ataques a diversas compañías de todo el mundo. Ayer se confirmó que dicho grupo de extorsión desplegó ransomware en dichas empresas en un ataque de doble extorsión.

Se ha confirmado que el grupo de extorsión D0nut desplegó ransomware en las compañías DESFA, Sheppard Robson y Sando en agosto de 2022 en un ataque de doble extorsión. Un ataque de este tipo consiste en no solamente cifrar los datos como un ransomware tradicional, sino también en filtrar información confidencial del afectado.

¿Quién es el grupo de extorsión D0nut?

En agosto de 2022 se detectó un nuevo grupo de ransomware llamado D0nut. Dicho grupo se reportó por diferentes plataformas como BleepingComputer o la cuenta de Twitter de @MarceloRivero. Sin embargo, el grupo no estaba confirmado oficialmente por ninguna de las empresas involucradas.

Actividad de los principales grupos de #ransomware: Agosto 2022 (vía @MBThreatIntel)

#LockBit siguió siendo la variante dominante este mes
El renacimiento de #REvil en cámara lenta continuó con una sola víctima en la lista
Nuevos players: #D0nut, #IceFire, #DAIXIN, #Bl00dy pic.twitter.com/5RxvCpeogu

— Marcelo Rivero (@MarceloRivero) September 9, 2022

Principales grupos de ransomware Agosto 2022. D0nut aparece por primera vez.

No han podido confirmar oficialmente su actuación hasta la fecha porque dichos ataques se reclamaron por otras operaciones. Por ejemplo, el ataque a Sando se reclamó por Hive, y el que se realizó a DESFA, por Ragnar Locker.

Además, Doel Santos, investigador de Unit 42, también compartió que el TOX ID encontrado en las muestras de dichos ataques fue también encontrado en muestras del ransomware HelloXD.

Relación del TOX ID encontrado en D0nut con HelloXD [Fuente: Infosec.exchange]

Esto, además de dificultar la confirmación del nuevo grupo de ransomware, nos hace pensar que este es una filial de numerosas operaciones que se está intentando separar en su propia operación.

Los ransomware de D0nut

En VirusTotal se encuentra un codificador para la operación D0nut, mostrando que utilizan un ransomware personalizado para sus ataques de doble extorsión.

Aunque dicho ransomware está siendo aún estudiado, se ha podido comprobar que filtra ciertos tipos de ficheros y carpetas para cifrar aquellas extensiones que le interesan. Una vez cifrados los renombra con la extensión .d0nut.

Este grupo de operación introduce puntos de humor en sus ejecutables y notas, introduciendo gráficos ASCII de donuts girando, terminales dinámicos con notas de rescate que se desplazan, etc. Incluso ofrece un constructor para un ejecutable que actúa de pasarela a su página Tor de datos filtrados.

Estas notas están ofuscadas para ser difícilmente detectables e incluyen diversas formas para contactar con el actor del ataque. Algunas formas de contacto son TOX o una página de negociación de Tor. Además de estas notas se incluye un constructor que crea una aplicación Electron Linux y Windows con un cliente Tor para acceder a las páginas de la filtración (actualmente no operacionales).

Conclusión

Un nuevo grupo de extorsión llamado D0nut, o Donut Leaks, ha sido confirmado. Dicho grupo está centrado en el uso de ransomware para ataques de doble extorsión, es decir, cifrado y exposición de datos personales.

Parece ser que dicho grupo es una filial de otros grupos de operación como Hive o Ragnar Locker que está ganado cada vez más fuerza por separado. Además, se toma los ataques con un tono humorístico.

Habrá que no perder de vista a este grupo de operación si no queremos que nuestra seguridad acabe hueca como un donut.

Referencias

BleepingComputer – Donut extortion group also targets victims with ransomware: https://www.bleepingcomputer.com/news/security/donut-extortion-group-also-targets-victims-with-ransomware/

Twitter MarceloRivero: https://twitter.com/MarceloRivero/status/1568300215454646272?cxt=HHwWgIC-tZOv3MMrAAAA

Infosec.exchange: https://infosec.exchange/@lawrenceabrams/109388693256750796

VirusTotal – Muestra D0nut: https://twitter.com/MarceloRivero/status/1568300215454646272?cxt=HHwWgIC-tZOv3MMrAAAA

La entrada Grupo de extorsión D0nut, la rosca del ransomware se publicó primero en Una al Día.

2022/06
Acerca del autor:
Tell us something about yourself.

Artículo de Sergio González Muriel publicado en https://unaaldia.hispasec.com/2022/11/grupo-de-extorsion-d0nut-la-rosca-del-ransomware.html?utm_source=rss&utm_medium=rss&utm_campaign=grupo-de-extorsion-d0nut-la-rosca-del-ransomware

Generated by Feedzy