El grupo de extorsión Donut reaparece con una herramienta de ransomware personalizada

El grupo de extorsión Donut (D0nut) está lanzando ataques de doble extorsión a diversos objetivos. Desde su detección en agosto, el grupo ha estado involucrado en la publicación cruzada de datos robados, lo que indica una asociación basada en afiliados con varios grupos de amenazas, incluidos Hive y Ragnar Locker. Donut lanzó su propio encriptador. […]

El grupo de extorsión Donut (D0nut) está lanzando ataques de doble extorsión a diversos objetivos. Desde su detección en agosto, el grupo ha estado involucrado en la publicación cruzada de datos robados, lo que indica una asociación basada en afiliados con varios grupos de amenazas, incluidos Hive y Ragnar Locker.

Donut lanzó su propio encriptador.

El equipo de investigación de BleepingComputer encontró nuevas muestras de un cifrador para el ransomware Donut, confirmando su uso en ataques recientes.

Al ejecutarse, Donut busca archivos que coincidan con extensiones específicas para cifrar. Evita ciertos archivos y carpetas que contienen cadenas para Edge, Opera, Chromium, Windows, thumbs.db, ntuser.ini y otros.

Después del cifrado, agrega la extensión .d0nut a los archivos cifrados. Un detalle es que la operación Donut Leaks utiliza gráficos interesantes y contenido humorístico en sus notas de rescate.

Las notas de rescate utilizadas en las operaciones de Donut están muy ofuscadas con todas las cadenas codificadas y el JavaScript que decodifica la nota de rescate en el navegador.

Una nota de ransomware mostraba una dona ASCII giratoria y otra pretendía ser un símbolo del sistema que mostraba un error de PowerShell, que luego imprimía una nota de rescate desplazable. Estas notas incluyen diferentes enlaces a sitios de negociación TOX y Tor para contactar a los actores de amenazas.

Además del cifrador, el grupo desarrolló un generador para un ejecutable con un cliente Tor incluido para acceder a sus sitios de fuga de datos. El constructor consta de un script bash para crear una aplicación Electron de Windows y Linux que utiliza direcciones URL HTTPS. La aplicación no funciona actualmente ya que las URL no están operativas hasta el momento.

En el pasado, Donut ha mostrado alguna conexión o afiliación con varios grupos destacados de ransomware. Los ataques contra DESFA, Sheppard Robson y Sando en agosto, reclamados por el grupo Donut Leaks, también fueron reclamados por Ragnar Locker y el grupo Hive, y también filtraron los datos supuestamente robados en sus respectivos sitios de fuga. Sin embargo, BleepingComputer informa que el sitio Donut Leaks compartió datos mucho más extensos, lo que indica que estuvo sí involucrado en los ataques.