El grupo de extorsión D0nut, también llamado Donut Leaks, fue asociado en agosto a los ataques a diversas compañías de todo el mundo. Ayer se confirmó que dicho grupo de extorsión desplegó ransomware en dichas empresas en un ataque de doble extorsión.

Se ha confirmado que el grupo de extorsión D0nut desplegó ransomware en las compañías DESFA, Sheppard Robson y Sando en agosto de 2022 en un ataque de doble extorsión. Un ataque de este tipo consiste en no solamente cifrar los datos como un ransomware tradicional, sino también en filtrar información confidencial del afectado.

¿Quién es el grupo de extorsión D0nut?

En agosto de 2022 se detectó un nuevo grupo de ransomware llamado D0nut. Dicho grupo se reportó por diferentes plataformas como BleepingComputer o la cuenta de Twitter de @MarceloRivero. Sin embargo, el grupo no estaba confirmado oficialmente por ninguna de las empresas involucradas.

Actividad de los principales grupos de #ransomware: Agosto 2022 (vía @MBThreatIntel)

📍#LockBit siguió siendo la variante dominante este mes
📍El renacimiento de #REvil en cámara lenta continuó con una sola víctima en la lista
📍Nuevos players: #D0nut, #IceFire, #DAIXIN, #Bl00dy pic.twitter.com/5RxvCpeogu

— Marcelo Rivero (@MarceloRivero) September 9, 2022

No han podido confirmar oficialmente su actuación hasta la fecha porque dichos ataques se reclamaron por otras operaciones. Por ejemplo, el ataque a Sando se reclamó por Hive, y el que se realizó a DESFA, por Ragnar Locker.

Además, Doel Santos, investigador de Unit 42, también compartió que el TOX ID encontrado en las muestras de dichos ataques fue también encontrado en muestras del ransomware HelloXD.

Esto, además de dificultar la confirmación del nuevo grupo de ransomware, nos hace pensar que este es una filial de numerosas operaciones que se está intentando separar en su propia operación.

Los ransomware de D0nut

En VirusTotal se encuentra un codificador para la operación D0nut, mostrando que utilizan un ransomware personalizado para sus ataques de doble extorsión.

Aunque dicho ransomware está siendo aún estudiado, se ha podido comprobar que filtra ciertos tipos de ficheros y carpetas para cifrar aquellas extensiones que le interesan. Una vez cifrados los renombra con la extensión .d0nut.

Este grupo de operación introduce puntos de humor en sus ejecutables y notas, introduciendo gráficos ASCII de donuts girando, terminales dinámicos con notas de rescate que se desplazan, etc. Incluso ofrece un constructor para un ejecutable que actúa de pasarela a su página Tor de datos filtrados.

Estas notas están ofuscadas para ser difícilmente detectables e incluyen diversas formas para contactar con el actor del ataque. Algunas formas de contacto son TOX o una página de negociación de Tor. Además de estas notas se incluye un constructor que crea una aplicación Electron Linux y Windows con un cliente Tor para acceder a las páginas de la filtración (actualmente no operacionales).

Conclusión

Un nuevo grupo de extorsión llamado D0nut, o Donut Leaks, ha sido confirmado. Dicho grupo está centrado en el uso de ransomware para ataques de doble extorsión, es decir, cifrado y exposición de datos personales.

Parece ser que dicho grupo es una filial de otros grupos de operación como Hive o Ragnar Locker que está ganado cada vez más fuerza por separado. Además, se toma los ataques con un tono humorístico.

Habrá que no perder de vista a este grupo de operación si no queremos que nuestra seguridad acabe hueca como un donut.

Referencias

• BleepingComputer – Donut extortion group also targets victims with ransomware: https://www.bleepingcomputer.com/news/security/donut-extortion-group-also-targets-victims-with-ransomware/
• Twitter MarceloRivero: https://twitter.com/MarceloRivero/status/1568300215454646272?cxt=HHwWgIC-tZOv3MMrAAAA
• Infosec.exchange: https://infosec.exchange/@lawrenceabrams/109388693256750796
• VirusTotal – Muestra D0nut: https://twitter.com/MarceloRivero/status/1568300215454646272?cxt=HHwWgIC-tZOv3MMrAAAA