鑽石舞台

Unit 42研究員Doel Santos還表示：「贖金記錄中使用的TOX ID可以在HelloXD勒索軟件的樣本中看到。這種被盜數據和附屬關係的交叉發布讓我們相信Donut Leaks背後的威脅行為者是眾多行動的附屬機構，現在正試圖在他們自己的行動中將數據貨幣化。」

對於Donut勒索軟件的分析仍在進行中。目前已知的是，在執行時，它會掃描匹配特定擴展名的文件進行加密。加密文件時，勒索軟件會避開包含以下字符串的文件和文件夾：

當文件被加密時，Donut勒索軟件會將.donut擴展名附加到加密文件。例如，1.jpg將被加密並重命名為1.jpg.donut。

由Donut勒索軟件加密的文件

Donut Leaks的操作非常獨特，其使用有趣的圖形，在攻擊中體現了一絲「幽默」。它甚至為可執行文件提供構建器，作為其Tor數據泄漏站點的網關。這種獨特尤其體現在其贖金記錄中，他們在其中使用了不同的ASCII藝術，例如旋轉的ASCII甜甜圈。

Donut贖金記錄

BleepingComputer看到的另一個勒索軟件筆記會偽裝成一個顯示PowerShell錯誤的命令提示符，然後打印一個滾動的勒索筆記。為了避免被發現，贖金票據被嚴重混淆，所有字符串都經過編碼，JavaScript在瀏覽器中解碼贖金票據。這些贖金票據包括聯繫威脅行為者的不同方式，包括通過TOX和Tor協商站點。

Donut贖金談判現場

Donut勒索軟件操作還在其數據泄露站點上包含一個「構建器」，該構建器由一個bash腳本組成，用於創建Windows和Linux Electron應用程序，並帶有捆綁的Tor客戶端以訪問其數據泄露站點

D0nut勒索軟件electron應用程序

總的來說，這個敲詐勒索團體值得關注，不僅僅因為他們明顯的技能，還因為他們推銷自己的能力。