甜甜圈勒索组织正对企业部署双重勒索

据BleepingComputer 11月22日消息称，甜甜名为甜甜圈（D0nut）的圈勒勒索软件组织正制定针对企业的双重勒索攻击策略。

今年8月，索组署双索BleepingComputer首次报道了甜甜圈勒索软件组织  ，织正重勒它们分别参与了对希腊天然气公司 DESFA 、对企英国建筑公司 Sheppard Robson 和跨国建筑公司 Sando 的业部网络勒索攻击 。香港云服务器

最近，甜甜BleepingComputer 发现了用于甜甜圈的圈勒加密器样本 ，表明该组织正在使用自己定制的索组署双索勒索软件进行双重勒索攻击。根据分析
，织正重勒加密器在执行时会扫描匹配特定扩展名的对企文件进行加密
，源码下载并避开包含以下字符串的业部文件和文件夹 ：

Edge

ntldrOpera bootsect.bak Chrome BOOTSTAT.DAT boot.ini AllUsers Chromium bootmgr Windows thumbs.db ntuser.ini ntuser.dat desktop.ini bootmgr.efi autorun.inf

当文件被加密时 ，Donut 勒索软件会将 .d0nut 扩展名附加到加密文件。甜甜因此，圈勒例如 ，索组署双索1.jpg 将被加密并重命名为 1.jpg.d0nut
。

甜甜圈勒索软件还会利用 ASCII 编码，制作富有个性化的服务器租用赎金票据页面
，如旋转的 ASCII 甜甜圈
。

甜甜圈勒索软件的赎金票据

为了增强隐蔽性，赎金票据被严重混淆 ，所有字符串都被编码，要通过JavaScript在浏览器中对赎金票据进行解码。免费模板这些赎金票据包括联系攻击者的不同方式，例如通过 TOX 和 Tor 协商站点。

甜甜圈勒索软件还在其数据泄露站点上设置了一个构建器，由一个 bash 脚本组成 ，用于创建 Windows 和 Linux Electron 应用程序
，并带有捆绑的 Tor 客户端以访问数据泄露站点。云计算

BleepingComputer认为，该勒索组织不仅有较为突出的技能水平，而且还有一定的营销能力 ，需要对其引起足够的警惕。

参考来源：https://www.bleepingcomputer.com/news/security/donut-extortion-group-also-targets-victims-with-ransomware/

亿华云