DarkSide APT
DarkSide APT е участник в киберпрестъпни заплахи, моделиран след тенденцията Ransomware-as-a-Corporation (RaaC). Групата е специализирана в разгръщането на атаки на ransomware срещу специално избрани цели. Някои изследователи на Infosec са изчислили, че DarkSide е успял да изнуди общо 1 милион долара от своите жертви.
Общите тактики, техники и процедури (TTPS) на DarkSide показват големи прилики и в много случаи се припокриват с методите, наблюдавани в кампании за атака от други APT, като Sodinokibi , DoppelPaymer, Maze и NetWalker . Това, което отличава DarkSide обаче, е силно насоченият подход на групата при избора на своите жертви, създаването на персонализирани изпълними файлове за рансъмуер за всяка целева организация и корпоративните характеристики, които те са приели.
Официално прессъобщение за допълнителна легитимност
DarkSide обяви началото на своята ransomware операция чрез прессъобщение, публикувано на уебсайта им Tor. Въпреки че това не е първият път, когато участниците в заплахите разчитат на прессъобщения като комуникационен канал, това все още е рядко явление. Съобщенията за пресата обаче имат някои предимства – те позволяват на киберпрестъпниците да проектират имидж на професионален субект, на който може да се има доверие да поддържа края на всякакви преговори, като същевременно привлича по-голямо медийно внимание, което може да се използва като лост срещу всяка пробита организация. В края на краищата, повечето ransomware APT са започнали да събират лични данни, преди да заключат файловете на заразените машини. След това ексфилтрираната информация се въоръжава и участието на медиите може да доведе до още по-големи репутационни щети на засегнатата компания.
Хакери с морален кодекс?
В своето прессъобщение хакерите от DarkSide очертават няколко аспекта на бъдещите си операции. Очевидно киберпрестъпниците ще се въздържат от предприемане на всякакви атаки срещу критични или уязвими сектори като болници, училища и дори правителствени структури. На всичкото отгоре групата APT уточнява, че възнамерява да преследва цели, базирани на финансовите приходи на това образувание, което предполага, че ще избягват компании, които вече имат финансови затруднения. Въпреки че това са някои наистина благородни намерения, поне за една киберпрестъпна организация, остава да се види дали DarkSide ще успее да изпълни. В крайна сметка болниците остават сред най-вероятните мишени на атаки на ransomware.
Инструменти за рансъмуер
Операторите на DarkSide променят своя злонамерен инструментариум, за да съответстват на текущо избраната цел. Въпреки че този метод изисква много повече усилия от простото внедряване на един и същ изпълним софтуер за рансъмуер през цялото време, той гарантира по-висок шанс за успех. Заплахата за рансъмуер изтрива копията на Shadow Volume на компрометираната система чрез команда PowerShell. След това злонамереният софтуер ще прекрати множество бази данни, приложения, пощенски клиенти и други като подготовка за започване на рутинната си процедура за криптиране. DarkSide обаче избягва подправяне на следния процес:
- Vmcompute.exe
- Vmms.exe
- Vmwp.exe
- Svchost.exe
- TeamViewer.exe
- Explorer.exe
Включването на TeamViewer в този списък е доста любопитно и може да предполага, че заплахата разчита на приложението за отдалечен достъп до компрометираните компютри.
Показаната бележка за откуп също ще бъде направена специално за текущо избраната цел. Бележките обикновено включват точното количество данни, събрани от хакерите, техния тип и връзка към отдалечения сървър, където са качени данните. Придобитата информация се използва като мощен инструмент за изнудване. Ако нарушената организация откаже да изпълни изискванията на DarkSide, данните могат или да бъдат продадени на конкуренти, или просто пуснати на обществеността и сериозно да навредят на репутацията на жертвата.
