랜섬웨어 DarkBit - 이스라엘 공과대학을 공격한 정치적 목적의 랜섬웨어

DarkBit 랜섬웨어는 2023년 이스라엘의 공과대학을 공격 하면서 알려 졌습니다

파일 암호화 이후 생성 되는 안내파일의 내용에는 "killing the people (not only Palestinians’ bodies, but also Israelis’ souls) and destroying the future and all dreams we had" 내용의 정치적 메시지가 포함되어 있습니다

DarkBit 랜섬웨어는 명령줄 기반의 실행 방법으로 여러가지 인수값을 지정하여 실행 할 수있습니다

인수값 (설명)

-all (run on all without timeout counter)

-domain string (domain)

-force (force blacklisted computers)

-list string (List)

-nomutex (force not checking mutex)

-noransom (Just spread/No Encryption)

-password string (password)

-path string (path)

-t int (threads (default -1))

-usename string (username)

DarkBit 랜섬웨어는 아래의 확장자 파일과 파일에 대해서는 암호화를 하지 않습니다

-확장자 : .386, .adv, .ani, .bin, .cab, .cmd, .com, .cpl, .cur, .Darkbit, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lock, .log, .mod, .mpa, .msc, .msi, .msilog, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx

-파일 : darkbit.jpg, desktop.ini, recovery_darkbit.txt, system volume information, thumbs.db

또한 파일 크기가 25MB 이상의 큰 파일인 경우 파일 크기에 따라 암호화 구역을 여러곳으로 나누어 암호화를 합니다

암호화된 파일에는 "DARKBIT_ENCRYPTED_FILES"라는 문자열이 추가 되어 있습니다

DarkBit 랜섬웨어는 파일 확장자 뿐만 아니라 파일 이름도 <Random 파일명.Darkbit> 형태로 변경 하여 원본 파일이 어떤 것인지 알수 없습니다

DarkBit 랜섬웨어 역시 시스템 복구를 무력화 하기위해 볼륨 쉐도우 복사본을 삭제하는 명령을 수행 합니다

파일 암호화가 완료된 폴더에는 DARKBIT_ENCRYPTED_FILES.txt 안내 파일이 생성 됩니다

안내 파일에는 정치적 메시지와 함께 몸값으로 80BTC를 요구하며 복구 진행 연락을 위해 TOX Messenger로 연락할 ID와 토르 웹사이트 주소가 기재 되어 있으며 48시간이 자나면 30%의 비트코인을 추가로 요구 한다는 내용이 있습니다

그리고, 5일 후에는 파일 암호화 이전에 유출한 데이터를 외부에 판매 하겠다는 내용이 포함 되어 있습니다

DarkBit 랜섬웨어 운영 집단은 자신들의 활동을 알리는 텔레그램과 트위터 계정을 운영하고 있습니다