甜甜圈(D0nut)勒索組織已被證明在對企業的雙重勒索攻擊中部署勒索軟體。2022年8月首次報道 Donut 勒索集團 ,該組織與對希臘天然氣公司 DESFA、英國建築公司 Sheppard Robson 和跨國建築公司 Sando 的襲擊聯系起來。
Sando 和 DESFA 的資料也被釋出到幾個勒索軟體操作的網站上,Hive 勒索軟體聲稱發起了 Sando 攻擊,Ragnar Locker 聲稱發起了 DESFA。這種被盜資料和附屬關系的交叉,表明Donut勒索軟體背後的攻擊者可能是衆多勒索團夥的附屬機構之一。
本周,BleepingComputer 發現了用于 Donut 勒索軟體(又名 D0nut)的加密器樣本,表明該組織正在使用自己定制的勒索軟體進行雙重勒索攻擊。
勒索軟體在執行時,它會掃描比對特定擴充名的檔案進行加密。當檔案被加密時,Donut 勒索軟體會将 .d0nut 擴充名附加到加密檔案。
由 Donut 勒索軟體加密的檔案,來源:BleepingComputer
Donut 勒索軟體的贖金記錄檔案會顯示旋轉的甜甜圈。
甜甜圈贖金記錄
另一個勒索軟體筆記僞裝成一個顯示 PowerShell 錯誤的指令提示符,然後列印一個滾動的勒索筆記。
Donut 勒索軟體還在其資料洩露站點上提供一個“勒索軟體建構器”,該建構器由一個 bash 腳本組成,用于建立 Windows 和 Linux Electron 應用程式,并帶有捆綁的 Tor 用戶端以通路其資料洩露站點。
D0nut 勒索軟體 electron 應用程式