多方受害！Donut勒索组织正对企业部署双重勒索

BleepingComputer在8月首次报道了Donut 勒索集团，将他们与对希腊天然气公司DESFA、英国建筑公司Sheppard Robson和跨国建筑公司Sando的袭击联系起来，证实Donut在对企业的双重勒索攻击中部署勒索软件。

而近期，BleepingComputer再次发现了用于Donut操作的加密器样本“VirusTotal”，进一步表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。奇怪的是，Sando和DESFA的数据也被发布到几个勒索软件操作的网站上，Hive勒索软件声称发起了Sando攻击，Ragnar Locker则声称发起了DESFA攻击。

Unit 42研究员Doel Santos还表示：“赎金记录中使用的TOX ID可以在HelloXD勒索软件的样本中看到。这种被盗数据和附属关系的交叉发布让我们相信Donut Leaks背后的威胁行为者是众多行动的附属机构，现在正试图在他们自己的行动中将数据货币化。”、

Donut 勒索软件介绍

对于Donut勒索软件的分析仍在进行中。目前已知的是，在执行时，它会扫描匹配特定扩展名的文件进行加密。加密文件时，勒索软件会避开包含以下字符串的文件和文件夹：

当文件被加密时，Donut勒索软件会将.donut扩展名附加到加密文件。例如，1.jpg将被加密并重命名为1.jpg.donut。

由Donut勒索软件加密的文件

Donut Leaks的操作非常独特，其使用有趣的图形，在攻击中体现了一丝“幽默”。它甚至为可执行文件提供构建器，作为其Tor数据泄漏站点的网关。这种独特尤其体现在其赎金记录中，他们在其中使用了不同的ASCII艺术，例如旋转的ASCII甜甜圈。

Donut赎金记录

BleepingComputer看到的另一个勒索软件笔记会伪装成一个显示PowerShell错误的命令提示符，然后打印一个滚动的勒索笔记。为了避免被发现，赎金票据被严重混淆，所有字符串都经过编码，JavaScript在浏览器中解码赎金票据。这些赎金票据包括联系威胁行为者的不同方式，包括通过TOX和Tor协商站点。 

Donut赎金谈判现场

Donut勒索软件操作还在其数据泄露站点上包含一个“构建器”，该构建器由一个bash脚本组成，用于创建Windows和Linux Electron应用程序，并带有捆绑的Tor客户端以访问其数据泄露站点

D0nut勒索软件electron应用程序