DarkSide APT

DarkSide APT

El DarkSide APT és un actor d'amenaces cibercriminals inspirat en la tendència Ransomware-as-a-Corporation (RaaC). El grup s'especialitza en desplegar atacs de ransomware contra objectius escollits específicament. Alguns investigadors d'infosec han estimat que DarkSide ha aconseguit extorsionar un total d'1 milió de dòlars a les seves víctimes.

Les tàctiques, tècniques i procediments generals (TTPS) de DarkSide mostren grans similituds i, en molts casos, es superposen amb els mètodes observats en campanyes d'atac d'altres APT com Sodinokibi , DoppelPaymer, Maze i NetWalker . El que diferencia DarkSide, però, és l'enfocament molt orientat del grup a l'hora de seleccionar les seves víctimes, la creació d'executables de ransomware personalitzats per a cada organització objectiu i les característiques semblants a les corporatives que han adoptat.

Nota de premsa oficial per a una legitimitat addicional

DarkSide va anunciar l'inici de la seva operació de ransomware mitjançant un comunicat de premsa publicat al seu lloc web Tor. Tot i que aquesta no és la primera vegada que els actors de les amenaces confien en comunicats de premsa com a canal de comunicació, encara és poc freqüent. No obstant això, els comunicats de premsa tenen alguns avantatges: permeten als ciberdelinqüents projectar una imatge d'una entitat professional en la qual es pot confiar per mantenir el seu final de qualsevol negociació alhora que atrauen l'atenció dels mitjans de comunicació simultàniament, que es pot utilitzar com a palanquejament contra qualsevol organització violada. Després de tot, la majoria d'APT de ransomware han començat a recollir dades privades abans de bloquejar els fitxers a les màquines infectades. Aleshores, la informació exfiltrada es transforma en arma i la participació dels mitjans de comunicació podria suposar un dany a la reputació encara més gran per a l'empresa afectada.

Hackers amb codi moral?

En el seu comunicat de premsa, els pirates informàtics DarkSide descriuen diversos aspectes de les seves futures operacions. Pel que sembla, els ciberdelinqüents s'abstindran de llançar cap atac contra sectors crítics o vulnerables com hospitals, escoles i fins i tot entitats governamentals. A més, el grup APT aclareix que pretenen perseguir objectius basats en els ingressos financers d'aquesta entitat, la qual cosa implica que evitaran empreses que ja estan lluitant econòmicament. Tot i que aquestes són algunes intencions veritablement nobles, almenys per a una organització cibercriminal, està per veure si DarkSide aconseguirà seguir-ho. Després de tot, els hospitals segueixen sent un dels objectius més probables dels atacs de ransomware.

Eines de ransomware

Els operadors de DarkSide modifiquen el seu conjunt d'eines malicioses perquè coincideixi amb l'objectiu seleccionat actualment. Tot i que aquest mètode requereix molt més esforç que simplement desplegar el mateix executable de ransomware tot el temps, garanteix més possibilitats d'èxit. L'amenaça del ransomware suprimeix les còpies del volum d'ombra del sistema compromès mitjançant una ordre de PowerShell. Després, el programari maliciós finalitzarà nombroses bases de dades, aplicacions, clients de correu i molt més com a preparació per iniciar la seva rutina de xifratge. DarkSide, però, evita manipular el procés següent:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

La inclusió de TeamViewer en aquesta llista és força curiosa i pot suggerir que l'actor de l'amenaça es basa en l'aplicació per accedir remotament als ordinadors compromesos.

La nota de rescat que es mostra també es farà a mida per a l'objectiu escollit actualment. Les notes solen incloure la quantitat exacta de dades recollides pels pirates informàtics, el seu tipus i un enllaç al servidor remot on es van penjar les dades. La informació adquirida s'utilitza com una potent eina d'extorsió. Si l'organització violada es nega a satisfer les demandes de DarkSide, les dades es poden vendre als competidors o simplement es poden donar a conèixer al públic i danyar greument la reputació de la víctima.

Loading...