Threat Database Ransomware DarkSide Ransomware

DarkSide Ransomware

Trusselscorekort

Trusselsniveau: 100 % (Høj)
Inficerede computere: 1
Først set: January 23, 2014
Sidst set: May 16, 2021
Berørte operativsystemer: Windows

DarkSide Ransomware er en type malware, der oprettes med det formål at afpresse penge fra computerbrugere ved at holde deres pc som gidsler. DarkSide Ransomware's opgave med at gennemføre sit pengeudpressningsprogram starter med at kryptere filer, som finder sted efter indlæsning på et system, ofte på grund af at brugeren åbner en ondsindet vedhæftning af spam-e-mail.

DarkSide Ransomware er kendt for at kryptere mange filer og tilføje dem med lignende filtypenavne. Mens hver fil krypteret af DarkSide Ransomware let kan identificeres og findes, kan de ikke åbnes eller åbnes på grund af uovervindelig kryptering. På grund af dette bliver en computerbruger, der ønsker at få deres system tilbage til normal drift, at vælge enten at betale løsesummen eller finde en anden proces til at afhjælpe problemet.

DarkSide viste sig at være en synder i angrebet, der har lukket Colonial Pipeline, betragtet som den største amerikanske brændstofrørledning, der er ansvarlig for at transportere næsten halvdelen af det brændstof, der forbruges af USAs østkyst. Tjenestemænd undersøger i øjeblikket angrebet, hvor det ser ud til at være en trussel mod ransomware, der angriber systemer, der styrer rørledningen, hvilket kan påvirke brændstofpriserne negativt og få en massiv økonomisk indvirkning på området.

Hvad ønsker DarkSide?

Da DarkSide Ransomware-kampagnen lukkede Colonial Pipeline, er det naturligt at mistanke om, at der kan være politiske mål bag angrebet. Når alt kommer til alt, har omfanget afcyberwarfare kun vokset de sidste par år, og det ville ikke være overraskende, hvis dette var et nationalt finansieret angreb. Nogle forskere foreslår også, at en østeuropæisk hackergruppe kan stå bag DarkSide Ransomware, fordi denne infektion ikke krypterer et system, hvis dets sprog er indstillet til russisk, ukrainsk og armensk. Ikke desto mindre hævdede DarkSides udviklere gennem deres websted, at det aldrig var et af deres mål at afbryde brændstofsystemet, og deres eneste mål var økonomisk gevinst.

Det skal også påpeges, at DarkSide ikke styrer hvert eneste angreb direkte. Hackerne har mange tilknyttede virksomheder, der bruger DarkSide Ransomware, og disse tilknyttede virksomheder kan vælge deres egne mål. Det ser ud til, at den koloniale rørledning tilfældigvis blev valgt som et mål af et af disse tilknyttede selskaber. Derfor hævder DarkSide, at de vil forsøge at undgå sociale konsekvenser i fremtiden ved at indføre en klar målanmeldelse. Ikke at det lyder mere lovende, fordi det bare betyder, at hackerne fortsætter med at inficere andre systemer.

Hvad skete der nøjagtigt med Colonial?

Den mest almindelige metode til distribution af ransomware er spam-e-mail-vedhæftede filer. Med DarkSide Ransomware ser det ud til, at angrebsvektoren var lidt anderledes. Infektionen skal have udnyttet COVID-19-pandemisituationen, hvor mange kontormedarbejdere nu arbejder hjemmefra. Det samme gælder også Colonial Pipeline-medarbejderne.

Når nogen arbejder hjemmefra, står de over for meget flere sikkerhedstrusler, fordi deres hjemmenetværk sjældent er så sikkert som netværket på kontoret. DarkSide Ransomware bruger eksterne desktop-protokolapplikationer (såsom TeamViewer eller Microsoft Remote Desktop) for at få adgang til Colonial's systemer. De tvingede dybest set de loginoplysninger om kontoen, der tilhørte Colonials medarbejdere, og trådte ind i det følsomme indre system. Dette vil også betyde, at medarbejdere ikke bruger stærke adgangskoder til at beskytte deres konti, men det er endnu et problem.

Uanset hvad, når først DarkSide finder det svage link, der kan bruges til at få adgang til systemet, går de ind i den kompromitterede Virtual Desktop Infrastructure (VDI). Derefter sørger de for, at forbindelsen ikke afbrydes ved at installere en anden Remote Desktop Protocol via en udnyttet server. Hvis den oprindelige sårbarhed, der bruges til at få adgang til målsystemet, bliver opdateret, vil DarkSide stadig bevare systemadgangen.


DarkSide kommando og kontrol. Kilde: Varonis.com

Når hackerne er inde i systemet, inficerer de det med DarkSide Ransomware. Der er tre hovedfaser af infektionen. Den første er selvinjektion, hvor malware slipper en kopi af sig selv i% AppData% -mappen og bruger en CMD-kommando til at indsprøjte sin kode i en eksisterende proces. Under dette trin kan DarkSide stoppe med at køre, hvis dets programmering registrerer, at det køres på en virtuel maskine.

Hvis malware ikke finder nogen hindringer for dets processer, fortsætter den med at køre en snigende PowerShell-kommando, der sletter alle sikkerhedskopier og skyggekopier af de målrettede data på den berørte maskine. Det er en almindelig praksis blandt de fleste ransomware-infektioner.

Endelig involverer det tredje trin den vigtigste pièce de résistance, som er filkryptering. Før alt begynder, lukker DarkSide Ransomware en liste over processer, der kan forhindre krypteringsprocessen. Alle de berørte filer modtager en streng på 8 tegn i slutningen af deres navne, hvilket indikerer, at de er blevet krypteret af DarkSide Ransomware.

Det samme skete med Colonials system, hvor DarkSide med succes stjal næsten 100 GB data, der tog det som gidsel. De truede med at sive det ud på Internettet ved at vise følgende løsesumnote:

Dit netværk er blevet låst!

Du skal betale $ 2.000.000 nu eller $ 4.000.000 efter fordobling.

Efter betaling giver vi dig universel decryptor til alle netværk.

Det beløb på $ 2.000.000 eller mere, der kræves af hackergruppen, som vist i det faktiske løsesumnebillede (nedenfor), der vises på rørledningen, der styrer computere, er skandaløst.

darkside ransomware-billede
DarkSide Ransomware løsesum note billede

Oprettelsesnoten ovenfor dukker op på offerets skærm. Der er dog en anden løsesumnote, der tabes på målsystemet i en TXT-formatfil. Det har normalt "LÆS MIG" -sætningen i filnavnet. Denne note kommer med instruktioner om, hvordan man kontakter DarkSide-teamet, og her er hvad det siger:

------------ [Velkommen til DarkSide] ------------>

Hvad skete der?

-------------------------------------------------

Dine computere og servere er krypteret, private data blev downloadet. Vi bruger stærke krypteringsalgoritmer, så du kan ikke dekryptere dine data.

Men du kan gendanne alt ved at købe et specielt program fra os - universal decryptor. Dette program gendanner alt dit netværk.

Følg vores instruktioner nedenfor, og du vil gendanne alle dine data.

Datalækage

-------------------------------------------------

Først og fremmest har vi uploadet mere end _    data.

Din personlige lækageside (TOR LINK): http: // darkside. løg/

På siden finder du eksempler på filer, der er downloadet.

Dataene er forudindlæst og offentliggøres automatisk i vores blog, hvis du ikke betaler.

Efter offentliggørelsen kan dine data downloades af alle, de gemmes på vores tor CDN og vil være tilgængelige i mindst 6 måneder.

Vi er klar:

- At give dig bevis for stjålne data

- For at slette alle stjålne data.

Hvilke garantier?

-----------------------------------------------

Vi værdsætter vores omdømme. Hvis vi ikke udfører vores arbejde og forpligtelser, betaler ingen os. Dette er ikke i vores interesse.

Al vores dekrypteringssoftware er perfekt testet og dekrypterer dine data. Vi yder også support i tilfælde af problemer.

Vi garanterer at dekryptere en fil gratis. Gå til siden og kontakt os.

HVORDAN KONTAKTER OS?

-----------------------------------------------

Brug en TOR-browser:

1) Download og installer TOR-browseren fra dette websted: https://torproject.org/

2) Åbn vores websted: http: // darkside. løg/

Det er overflødigt at sige, at løsesummen skal betales i BTC, men i stedet for at kryptere for at betale for de stjålne data, henvendte Colonial sig til FBI og andre offentlige og private agenturer for at hjælpe dem med at mildne skaden. Cloudcomputersystemerne, der indeholdt de krypterede oplysninger, blev taget offline for at indeholde truslen, og det var i det væsentlige det, der forårsagede forstyrrelsen i østkystens brændstofforsyning.

Mens historien stadig udvikler sig, blev der ikke annonceret nogen faktiske løsesumbetalinger, og vi kan kun gætte, hvor meget Colonial vil betale for de krypterede data, eller om det overhovedet skulle betale noget. Tidligere angrebsforekomster antyder, at DarkSide ikke viser empati for virksomheder, der tjener milliarder af dollars i årlig omsætning. Det er dog muligt at forhandle med dem, og forhandlingerne kan være hurtige og effektive, fordi DarkSide bruger øjeblikkelig chat til at kommunikere med deres ofre.

Tilbage i januar 2021 blev et andet amerikansk firma ramt af DarkSide Ransomware-angrebet. Cyberkriminelle krævede 30 millioner dollars i løsepenge, men det lykkedes virksomheden at forhandle en betaling på 11 millioner dollars i stedet og skære ned prisen med næsten to tredjedele.

På den anden side, bortset fra de krypterede data og den dobbelte afpresningstaktik, hvor ofrene bliver presset til at betale, kan DarkSide også engagere sig i afpresning. Sammen med kryptering af følsomme data kan gruppen også stjæle dem og true med at lække dem, hvis de berørte virksomheder nægter at betale for dataudgivelsen.

Hvad mere er, DarkSide kan også høste loginoplysninger fra forskellige organisationer. I stedet for at underrette disse organisationer om deres sikkerhedsfejl, sælger de de høstede oplysninger til de højestbydende og giver dem således mulighed for at udføre andre angreb.

Almindelige Ransomware-tendenser

Dette ransomware-angreb er et klart eksempel på de nyeste ransomware-tendenser, hvor sådanne angreb kan forårsage stor skade på nationalt niveau. Ransomware-angreb har altid været målrettet mod virksomheder i modsætning til individuelle brugere, men det er nu let at se, at vital industriel infrastruktur også kan blive påvirket af den. Selvom DarkSide Ransomware ikke bliver så berygtet som WannaCry, giver det yderligere gåder til cybersikkerhedsspecialister over hele verden.

DarkSide Ransomware viser også i øjeblikket den mest fremtrædende ransomware-forretningsmodel, hvor hovedudviklerne (DarkSide, i dette tilfælde) opretter malware og derefter sælger den eller lejer den til sine "tilknyttede virksomheder." Indtil videre har sikkerhedsforskere identificeret mindst fem datterselskaber, der er forbundet med DarkSide-ransomware-angrebene.

For at blive DarkSide "tilknyttet" skal den potentielle partner først bestå et interview. Nogle af de grupper, der har bestået interviewet og arbejder med DarkSide, identificeres ved tildelte kodenavne. Forskere ved FireEye angiver nogle af disse grupper som UNC2628, UNC2659 og UNC2465.

UNC2465 har været aktiv siden april 2019. Denne gruppe anvender phishing-e-mails til at levere DarkSide til sine potentielle ofre. Gruppen bruger også Smokedham-bagdøren til at få adgang til målsystemet. UNC2659 og UN2628 er relativt nye grupper, der har været aktive siden begyndelsen af 2021. UNC2628 har tendens til at fortsætte med krypteringen inden for to eller tre dage efter infiltrationen, og det antages også, at denne gruppe også har arbejdet med REvil. UNC2628 tager i gennemsnit cirka ti dage efter infektionen, før den fortsætter med filkrypteringen, og den opretholder vedholdenhed på den berørte computer ved at udnytte TeamViewer-softwaren.

Bortset fra forskellige infiltrations- og krypteringsmønstre, når tilknyttede selskaber inficerer forudbestemte mål, modtager det vigtigste hackerteam en procentdel af tilknyttede virksomheders indtjening. Baseret på forskellige rapporter får Dark Side en nedskæring på 25% fra de indsamlede løsesumbetalinger, hvis datterselskaberne modtager mindre end $ 500.000 i løsepenge. Hvis partnerne indsamler over $ 5 ml, går nedskæringen ned til 10% af indtjeningen. Denne forretningsmodel kaldes ransomware-as-a-service.

For at gøre sig mere attraktiv for potentielle kunder kører DarkSide en konkurrencedygtig marketingkampagne på sin hjemmeside. Selv da ransomware først blev frigivet i august 2020, blev det nye produkt også annonceret gennem en "pressemeddelelse", så gruppen er meget ivrig og ivrig efter at promovere sig selv.

Holdet siger, at selvom de præsenterer et nyt produkt, er de på ingen måde nybegyndere inden for ransomware-feltet. De viser også, at de har integritet, fordi de siger, at de ikke angriber sundhedsydelser, begravelsestjeneste, uddannelse, non-profit og offentlige institutioner. Igen understøtter dette den tidligere nævnte påstand om, at DarkSide ikke havde til hensigt at forårsage sociale forstyrrelser med sit angreb på Colonial.

Potentielle ofre glemmes heller ikke i deres annonce. DarkSide siger, at ofrene kan garanteres, at de får en en testfil-dekryptering, og at en dekrypteringsnøgle til alle filerne vil blive udstedt, når løsepengeoverførslen er overført. De lover også at slette de uploadede filer fra deres servere.


DarkSide Ransomware-reklamen. Kilde: KrebsOnSecurity.com

Selvom sikkerhedseksperter ikke kan være 100% sikre på dette, menes det, at nogle af medlemmerne af DarkSide-teamet stod bag en anden ransomware-infektion kaldet REvil. Til gengæld menes REvil at være et andet navn for GandCrab , som er endnu en ransomware-as-a-service, der pressede mere end $ 2 mia. Fra sine ofre, inden den lukkede sin butik i 2019.

Sådanne omfattende trusler kræver mangesidede løsninger. Brug af kraftfulde anti-malware-programmer er kun en springbræt i denne kamp mod farlige hackergrupper. Det er også vigtigt at uddanne dine medarbejdere om de potentielle sikkerhedstrusler og vitale cybersikkerhedspraksis. Hvis en medarbejder administrerer følsomme oplysninger, skal de bruge stærke adgangskoder og sikre netværkskonfigurationer, når de får adgang til organisationens systemer. Ellers ville det være for let for noget som DarkSide Ransomware at udføre endnu et angreb.

Det åbenlyse er, at ransomware ikke går nogen steder, og sådanne angreb bliver et presserende spørgsmål ikke kun for virksomheder, men også for national sikkerhed. De gennemsnitlige ransomware-betalinger steg med 31% fra andet til tredje kvartal i 2020. Og mere end 2.400 offentlige agenturer, sundhedsinstitutioner og skoler blev ramt af ransomware-angreb i USA alene inden 2020.

I DarkSides tilfælde siger de, at de ovennævnte institutioner ikke er deres vigtigste mål, men angrebene bliver svære at undgå, og denne presserende situation anerkendes også af Cybersecurity and Infrastructure Security Agency (CISA). Den 11. maj 2021 offentliggjorde agenturet et sæt anbefalinger til "at forhindre forretningsdistribution fra ransomware-angreb ." Listen med anbefalinger inkluderer (men er ikke begrænset til):

  • Brug af multifaktorautentificering
  • Brug af spamfiltre for at undgå phishing-angreb
  • Tilskyndelse til træning af bruger / medarbejder for at forhindre cyberangreb
  • Filtrering af netværkstrafik
  • Regelmæssige softwareopdateringer
  • Regelmæssig sikkerhedskopiering af data

Forskellige nyhedsforretninger har rapporteret, at Colonial betalte næsten $ 5 millioner i løsepenge. Virksomheden blev ramt af DarkSide Ransomware sidste fredag den 7. maj, og det betalte efter sigende løsesummen i kryptokurrency kun få timer efter angrebet. Det er klart, at virksomheden betalte løsepenge for at gendanne stjålne data, men en sådan hurtig betaling giver også bekymring for fremtidige ransomware-angreb. Det tilskynder kriminelle til fortsat at målrette højt profilerede virksomheder og andre virksomheder, der har dybe lommer og er mere tilbøjelige til at betale løsepenge.

På trods af at DarkSide leverede dekrypteringsværktøjet til at gendanne de krypterede data, var Colonial stadig nødt til at bruge deres egne sikkerhedskopier til at gendanne deres netværk, fordi det nævnte værktøj angiveligt var for langsomt. Det er meget sandsynligt, at dekrypteringsværktøjet har sine begrænsninger, når det skal dekryptere hundredvis af gigabyte data.

DarkSide Ransomware Skærmbilleder

DarkSide Ransomware
darkside ransomware image
colonial pipeline darkside ransomware attack

Relaterede indlæg

Trending

Mest sete

Indlæser...