DarkSide APT

DarkSide APT je aktérem kyberzločineckých hrozeb vytvořeným podle trendu Ransomware-as-a-Corporation (RaaC). Skupina se specializuje na nasazení ransomwarových útoků proti konkrétně vybraným cílům. Někteří výzkumníci z infosec odhadli, že DarkSide se podařilo vymámit ze svých obětí celkem 1 milion dolarů.

Obecná taktika, techniky a postupy (TTPS) DarkSide vykazují velké podobnosti a v mnoha případech se překrývají s metodami pozorovanými v útočných kampaních jiných APT, jako jsou Sodinokibi , DoppelPaymer, Maze a NetWalker . To, co však DarkSide odlišuje, je vysoce cílený přístup skupiny při výběru obětí, vytváření vlastních spustitelných souborů ransomwaru pro každou cílovou organizaci a vlastnosti podobné korporacím, které si osvojily.

Oficiální tisková zpráva pro přidanou legitimitu

DarkSide oznámil zahájení své operace ransomwaru prostřednictvím tiskové zprávy zveřejněné na jejich webových stránkách Tor. I když to není poprvé, co aktéři hrozeb spoléhali na tiskové zprávy jako na komunikační kanál, je to stále vzácný jev. Tiskové zprávy však mají určité výhody – umožňují kyberzločincům promítat obraz profesionálního subjektu, kterému lze důvěřovat, že dodrží konec jakýchkoli jednání a současně přitáhne větší pozornost médií, což lze využít jako páku proti jakékoli narušené organizaci. Koneckonců, většina ransomwarových APT začala shromažďovat soukromá data před uzamčením souborů na infikovaných počítačích. Exfiltrované informace jsou následně zneužity a zapojení médií by mohlo znamenat pro postiženou společnost ještě větší poškození reputace.

Hackeři s morálním kodexem?

Ve své tiskové zprávě nastiňují hackeři DarkSide několik aspektů svých budoucích operací. Kyberzločinci se zjevně zdrží jakýchkoli útoků proti kritickým nebo zranitelným sektorům, jako jsou nemocnice, školy a dokonce i vládní subjekty. Kromě toho skupina APT objasňuje, že mají v úmyslu jít za cíli založenými na finančních příjmech tohoto subjektu, což naznačuje, že se vyhnou společnostem, které již mají finanční potíže. I když se jedná o skutečně ušlechtilé záměry, alespoň pro kyberzločineckou organizaci, se teprve uvidí, zda se DarkSide podaří dotáhnout do konce. Nemocnice totiž zůstávají mezi nejpravděpodobnějšími cíli ransomwarových útoků.

Ransomware nástroje

Operátoři DarkSide upraví svou sadu škodlivých nástrojů tak, aby odpovídala aktuálně vybranému cíli. I když tato metoda vyžaduje mnohem více úsilí než pouhé nasazování stále stejného spustitelného ransomwaru, zajišťuje vyšší šanci na úspěch. Hrozba ransomwaru odstraní stínové kopie svazku z napadeného systému pomocí příkazu PowerShell. Poté malware ukončí četné databáze, aplikace, poštovní klienty a další jako přípravu na zahájení své šifrovací rutiny. DarkSide se však vyhýbá manipulaci s následujícím procesem:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

Zařazení TeamViewer do tohoto seznamu je poněkud zvláštní a může naznačovat, že aktér hrozby spoléhá na aplikaci pro vzdálený přístup k napadeným počítačům.

Zobrazená poznámka o výkupném bude také přizpůsobena aktuálně zvolenému cíli. Poznámky obvykle obsahují přesné množství dat shromážděných hackery, jejich typ a odkaz na vzdálený server, kam byla data nahrána. Získané informace se používají jako účinný nástroj vydírání. Pokud narušená organizace odmítne splnit požadavky DarkSide, data mohou být buď prodána konkurentům, nebo jednoduše uvolněna veřejnosti a vážně poškodit pověst oběti.