DarkSide APT

DarkSide APT Beskrivelse

DarkSide APT er en cyberkriminel trusselsaktør modelleret efter Ransomware-as-a-Corporation (RaaC) -tendensen. Gruppen er specialiseret i at implementere ransomware-angreb mod specifikt valgte mål. Nogle infosec-forskere har estimeret, at DarkSide har formået at afpresse i alt 1 million dollars fra sine ofre.

DarkSides generelle taktik, teknikker og procedurer (TTPS) viser store ligheder og overlapper i mange tilfælde de metoder, der ses i angrebskampagner fra andre APT'er som Sodinokibi , DoppelPaymer, Maze og NetWalker . Det, der adskiller DarkSide, er dog gruppens meget målrettede tilgang, når de vælger ofrene, oprettelsen af brugerdefinerede ransomware-eksekverbare filer for hver målrettet organisation og de virksomhedslignende egenskaber, de har vedtaget.

Officiel pressemeddelelse for ekstra legitimitet

DarkSide annoncerede starten på deres ransomware-operation gennem en pressemeddelelse offentliggjort på deres Tor-websted. Selvom dette ikke er første gang, at trusselsaktører har påberåbt sig pressemeddelelser som kommunikationskanal, er det stadig en sjælden begivenhed. Pressemeddelelser har dog nogle fordele - de giver cyberkriminelle mulighed for at projicere et billede af en professionel enhed, der kan stole på for at opretholde deres afslutning på enhver forhandling, samtidig med at de tiltrækker større medieopmærksomhed samtidigt, som kan bruges som gearing mod enhver brudt organisation. Når alt kommer til alt, er de fleste ransomware-APT'er begyndt at indsamle private data, før de låser filerne på de inficerede maskiner. De udfiltrerede oplysninger våbnes derefter, og inddragelse af medierne kan betyde endnu større omdømme for det berørte selskab.

Hackere med moralsk kode?

I deres pressemeddelelse skitserer DarkSide-hackerne flere aspekter af deres fremtidige operationer. Tilsyneladende vil cyberkriminelle afholde sig fra at lancere angreb mod kritiske eller sårbare sektorer såsom hospitaler, skoler og endda statslige enheder. Derudover præciserer APT-gruppen, at de agter at følge mål baseret på enhedens økonomiske indtægter, hvilket antyder, at de vil undgå virksomheder, der allerede kæmper økonomisk. Selvom dette er nogle virkelig ædle intentioner, i det mindste for en cyberkriminel organisation, er det stadig at se, om DarkSide vil klare at følge op. Når alt kommer til alt forbliver hospitaler blandt de mest sandsynlige mål for ransomware-angreb.

Ransomware-værktøjer

DarkSide-operatørerne ændrer deres ondsindede værktøjssæt for at matche det aktuelt valgte mål. Mens denne metode kræver meget mere indsats end blot at implementere den samme ransomware, der kan køres hele tiden, sikrer den en større chance for succes. Ransomware-truslen sletter Shadow Volume Copies på det kompromitterede system via en PowerShell-kommando. Bagefter vil malware afslutte adskillige databaser, applikationer, mailklienter og mere som en forberedelse til at indlede krypteringsrutinen. DarkSide undgår dog at manipulere med følgende proces:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

Inkluderingen af TeamViewer på denne liste er ret nysgerrig og kan antyde, at trusselsaktøren er afhængig af applikationen om fjernadgang til de kompromitterede computere.

Den viste løsesumnote bliver også skræddersyet til det aktuelt valgte mål. Noterne inkluderer normalt den nøjagtige mængde data indsamlet af hackerne, dens type og et link til den eksterne server, hvor dataene blev uploadet. De erhvervede oplysninger bruges som et kraftigt afpresningsværktøj. Hvis den brudte organisation nægter at imødekomme DarkSides krav, kan dataene enten sælges til konkurrenter eller simpelthen frigives til offentligheden og skade offerets omdømme alvorligt.