دارك سايد APT

DarkSide APT هو ممثل تهديد مجرم إلكتروني تم تصميمه على غرار اتجاه Ransomware-as-a-Corporation (RaaC). المجموعة متخصصة في نشر هجمات الفدية ضد أهداف محددة على وجه التحديد. قدر بعض الباحثين في إنفوسيك أن DarkSide تمكنت من ابتزاز ما مجموعه مليون دولار من ضحاياه.

تُظهر التكتيكات والتقنيات والإجراءات العامة (TTPS) الخاصة بـ DarkSide أوجه تشابه كبيرة ، وفي كثير من الحالات ، تتداخل مع الأساليب التي شوهدت في حملات الهجوم من APTs الأخرى مثل Sodinokibi و DoppelPaymer و Maze و NetWalker . ومع ذلك ، فإن ما يميز DarkSide عن غيره هو نهج المجموعة شديد الاستهداف عند اختيار ضحاياها ، وإنشاء ملفات تنفيذية مخصصة لبرامج الفدية لكل مؤسسة مستهدفة ، والخصائص الشبيهة بالشركات التي اعتمدوها.

بيان صحفي رسمي للشرعية المضافة

أعلن DarkSide عن بدء عملية برنامج الفدية من خلال بيان صحفي نُشر على موقع Tor على الويب. على الرغم من أن هذه ليست المرة الأولى التي يعتمد فيها المهاجمون على البيانات الصحفية كقناة اتصال ، إلا أنها لا تزال نادرة الحدوث. ومع ذلك ، فإن البيانات الصحفية لها بعض المزايا - فهي تسمح لمجرمي الإنترنت بإبراز صورة لكيان محترف يمكن الوثوق به لدعم نهايتهم لأي مفاوضات مع جذب اهتمام إعلامي أكبر في وقت واحد ، والذي يمكن استخدامه كرافعة ضد أي منظمة مخترقة. بعد كل شيء ، بدأت معظم APTs لبرامج الفدية في جمع البيانات الخاصة قبل قفل الملفات على الأجهزة المصابة. يتم بعد ذلك تسليح المعلومات المسربة ويمكن أن يؤدي تدخل وسائل الإعلام إلى إلحاق ضرر أكبر بسمعة الشركة المتضررة.

قراصنة مع قانون أخلاقي؟

في بيانهم الصحفي ، حدد قراصنة DarkSide العديد من جوانب عملياتهم المستقبلية. على ما يبدو ، سيمتنع مجرمو الإنترنت عن شن أي هجمات ضد القطاعات الحساسة أو الضعيفة مثل المستشفيات والمدارس وحتى الكيانات الحكومية. علاوة على ذلك ، أوضحت مجموعة APT أنهم يعتزمون متابعة الأهداف بناءً على الإيرادات المالية لهذا الكيان ، مما يعني أنهم سيتجنبون الشركات التي تعاني بالفعل ماليًا. في حين أن هذه بعض النوايا النبيلة حقًا ، على الأقل بالنسبة لمنظمة مجرمي الإنترنت ، يبقى أن نرى ما إذا كانت DarkSide ستتمكن من المتابعة. بعد كل شيء ، تظل المستشفيات من بين الأهداف الأكثر احتمالا لهجمات برامج الفدية.

أدوات برامج الفدية

يقوم مشغلو DarkSide بتعديل مجموعة أدواتهم الخبيثة لمطابقة الهدف المحدد حاليًا. على الرغم من أن هذه الطريقة تتطلب مجهودًا أكبر بكثير من مجرد نشر نفس برنامج الفدية القابل للتنفيذ طوال الوقت ، إلا أنها تضمن فرصة أكبر للنجاح. يؤدي تهديد برامج الفدية إلى حذف نسخ Shadow Volume على النظام المخترق من خلال أمر PowerShell. بعد ذلك ، ستنهي البرامج الضارة العديد من قواعد البيانات والتطبيقات وعملاء البريد وغير ذلك كإعداد لبدء روتين التشفير الخاص بها. ومع ذلك ، يتجنب DarkSide العبث بالعملية التالية:

• Vmcompute.exe
• Vmms.exe
• ملف Vmwp.exe
• ملف Svchost.exe
• برنامج TeamViewer.exe
• Explorer.exe

يعد إدراج برنامج TeamViewer في تلك القائمة أمرًا مثيرًا للفضول وقد يشير إلى أن ممثل التهديد يعتمد على التطبيق للوصول عن بُعد إلى أجهزة الكمبيوتر المعرضة للخطر.

ستكون مذكرة الفدية المعروضة أيضًا مصممة خصيصًا للهدف المختار حاليًا. عادةً ما تتضمن الملاحظات المقدار الدقيق للبيانات التي تم جمعها بواسطة المتسللين ونوعها ورابط للخادم البعيد حيث تم تحميل البيانات. يتم استخدام المعلومات المكتسبة كأداة ابتزاز قوية. إذا رفضت المنظمة التي تم اختراقها تلبية مطالب DarkSide ، فيمكن إما بيع البيانات إلى المنافسين أو الإفراج عنها ببساطة للجمهور وإلحاق الضرر بسمعة الضحية بشدة.