DarkSide APT

DarkSide APT

Το DarkSide APT είναι ένας παράγοντας απειλών στον κυβερνοχώρο που έχει σχεδιαστεί σύμφωνα με την τάση Ransomware-as-a-Corporation (RaaC). Η ομάδα ειδικεύεται στην ανάπτυξη επιθέσεων ransomware εναντίον ειδικά επιλεγμένων στόχων. Ορισμένοι ερευνητές της infosec υπολόγισαν ότι το DarkSide κατάφερε να αποσπάσει συνολικά 1 εκατομμύριο δολάρια από τα θύματά του.

Οι γενικές τακτικές, τεχνικές και διαδικασίες (TTPS) του DarkSide παρουσιάζουν μεγάλες ομοιότητες και, σε πολλές περιπτώσεις, επικαλύπτονται με τις μεθόδους που παρατηρούνται σε εκστρατείες επίθεσης από άλλα APT όπως τα Sodinokibi , DoppelPaymer, Maze και NetWalker . Αυτό που ξεχωρίζει το DarkSide, ωστόσο, είναι η εξαιρετικά στοχευμένη προσέγγιση του ομίλου κατά την επιλογή των θυμάτων του, η δημιουργία προσαρμοσμένων εκτελέσιμων προγραμμάτων ransomware για κάθε στοχευόμενο οργανισμό και τα εταιρικά χαρακτηριστικά που έχουν υιοθετήσει.

Επίσημο Δελτίο Τύπου για Προστιθέμενη Νομιμότητα

Το DarkSide ανακοίνωσε την έναρξη της λειτουργίας του ransomware μέσω ενός δελτίου τύπου που δημοσιεύτηκε στον ιστότοπο Tor. Αν και δεν είναι η πρώτη φορά που οι φορείς απειλών βασίζονται σε δελτία τύπου ως κανάλι επικοινωνίας, εξακολουθεί να είναι ένα σπάνιο φαινόμενο. Ωστόσο, τα δελτία τύπου έχουν κάποια πλεονεκτήματα - επιτρέπουν στους εγκληματίες του κυβερνοχώρου να προβάλλουν μια εικόνα μιας επαγγελματικής οντότητας που μπορεί να εμπιστευθεί ότι θα υποστηρίξει το τέλος οποιασδήποτε διαπραγμάτευσης, ενώ ταυτόχρονα προσελκύει μεγαλύτερη προσοχή των μέσων ενημέρωσης, κάτι που μπορεί να χρησιμοποιηθεί ως μοχλός έναντι οποιουδήποτε παραβιασμένου οργανισμού. Εξάλλου, τα περισσότερα APT ransomware έχουν αρχίσει να συλλέγουν προσωπικά δεδομένα πριν κλειδώσουν τα αρχεία στα μολυσμένα μηχανήματα. Οι πληροφορίες που διεισδύουν στη συνέχεια χρησιμοποιούνται με όπλα και η εμπλοκή των μέσων ενημέρωσης θα μπορούσε να σημαίνει ακόμη μεγαλύτερη ζημιά στη φήμη της επηρεαζόμενης εταιρείας.

Χάκερ με ηθικό κώδικα;

Στο δελτίο τύπου τους, οι χάκερ του DarkSide περιγράφουν διάφορες πτυχές των μελλοντικών τους λειτουργιών. Προφανώς, οι κυβερνοεγκληματίες θα απέχουν από τυχόν επιθέσεις εναντίον κρίσιμων ή ευάλωτων τομέων όπως νοσοκομεία, σχολεία, ακόμη και κυβερνητικές οντότητες. Επιπλέον, ο όμιλος APT διευκρινίζει ότι σκοπεύει να επιτύχει στόχους με βάση τα οικονομικά έσοδα αυτής της οντότητας, υπονοώντας ότι θα αποφύγει εταιρείες που ήδη δυσκολεύονται οικονομικά. Ενώ αυτές είναι μερικές πραγματικά ευγενείς προθέσεις, τουλάχιστον για μια οργάνωση κυβερνοεγκληματίας, μένει να δούμε αν το DarkSide θα καταφέρει να το ακολουθήσει. Εξάλλου, τα νοσοκομεία παραμένουν μεταξύ των πιο πιθανών στόχων επιθέσεων ransomware.

Εργαλεία Ransomware

Οι χειριστές DarkSide τροποποιούν την κακόβουλη εργαλειοθήκη τους για να ταιριάζει με τον τρέχοντα επιλεγμένο στόχο. Αν και αυτή η μέθοδος απαιτεί πολύ περισσότερη προσπάθεια από την απλή ανάπτυξη του ίδιου εκτελέσιμου λογισμικού ransomware όλη την ώρα, εξασφαλίζει μεγαλύτερες πιθανότητες επιτυχίας. Η απειλή ransomware διαγράφει τα Shadow Volume Copies στο παραβιασμένο σύστημα μέσω μιας εντολής PowerShell. Στη συνέχεια, το κακόβουλο λογισμικό θα τερματίσει πολλές βάσεις δεδομένων, εφαρμογές, προγράμματα-πελάτες αλληλογραφίας και πολλά άλλα ως προετοιμασία για την έναρξη της ρουτίνας κρυπτογράφησης. Το DarkSide, ωστόσο, αποφεύγει την παραβίαση της ακόλουθης διαδικασίας:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

Η συμπερίληψη του TeamViewer σε αυτήν τη λίστα είναι μάλλον περίεργη και μπορεί να υποδηλώνει ότι ο παράγοντας απειλής βασίζεται στην εφαρμογή για απομακρυσμένη πρόσβαση στους υπολογιστές που έχουν υποστεί βλάβη.

Το εμφανιζόμενο σημείωμα λύτρων θα είναι επίσης προσαρμοσμένο για τον τρέχοντα επιλεγμένο στόχο. Οι σημειώσεις συνήθως περιλαμβάνουν την ακριβή ποσότητα δεδομένων που συλλέγονται από τους χάκερ, τον τύπο τους και έναν σύνδεσμο προς τον απομακρυσμένο διακομιστή όπου ανέβηκαν τα δεδομένα. Οι πληροφορίες που αποκτήθηκαν χρησιμοποιούνται ως ισχυρό εργαλείο εκβιασμού. Εάν ο παραβιασμένος οργανισμός αρνηθεί να ανταποκριθεί στις απαιτήσεις του DarkSide, τα δεδομένα μπορούν είτε να πωληθούν σε ανταγωνιστές είτε απλά να δημοσιοποιηθούν και να βλάψουν σοβαρά τη φήμη του θύματος.

Trending

Loading...