DarkSide APT

DarkSide APT on küberkurjategija, kes on loodud Ransomware-as-a-Corporation (RaaC) trendi järgi. Rühm on spetsialiseerunud lunavararünnakute juurutamisele konkreetselt valitud sihtmärkide vastu. Mõned infoseci uurijad on hinnanud, et DarkSide’il on õnnestunud oma ohvritelt välja pressida kokku miljon dollarit.

Üldine taktika, tehnika ja protseduuride (TTPS) kohta DarkSide näidata suuri sarnasusi ja paljudel juhtudel kattuvad meetodid näha rünnaku kampaaniad teistele Apts nagu Sodinokibi , DoppelPaymer, Maze ja NetWalker . DarkSide'i eristab aga grupi väga sihipärane lähenemine oma ohvrite valimisel, kohandatud lunavara käivitatavate failide loomine iga sihtorganisatsiooni jaoks ja ettevõttele omased omadused.

Ametlik pressiteade legitiimsuse suurendamiseks

DarkSide teatas oma lunavaraoperatsiooni algusest nende Tori veebisaidil avaldatud pressiteate kaudu. Kuigi see pole esimene kord, kui ohus osalejad kasutavad suhtluskanalina pressiteadet, on see siiski haruldane. Siiski on pressiteadetel teatud eelised – need võimaldavad küberkurjategijatel projitseerida kuvandit professionaalsest üksusest, mida saab usaldada läbirääkimiste lõpuleviimisel, pälvides samal ajal suuremat meediatähelepanu, mida saab kasutada hoovana mis tahes rikkunud organisatsiooni vastu. Lõppude lõpuks on enamik lunavara APT-sid hakanud privaatseid andmeid koguma enne nakatunud masinates olevate failide lukustamist. Seejärel muudetakse väljafiltreeritud teave relvaks ja meedia kaasamine võib mõjutatud ettevõttele tähendada veelgi suuremat mainekahju.

Moraalikoodeksiga häkkerid?

Oma pressiteates kirjeldavad DarkSide'i häkkerid oma tulevase tegevuse mitmeid aspekte. Ilmselt hoiduvad küberkurjategijad rünnakutest kriitiliste või haavatavate sektorite, nagu haiglad, koolid ja isegi valitsusasutused, vastu. Lisaks selgitab APT grupp, et nad kavatsevad järgida eesmärke, mis põhinevad selle üksuse finantstulul, viidates sellele, et nad väldivad ettevõtteid, millel on niigi rahalisi raskusi. Kuigi need on mõned tõeliselt üllad kavatsused, vähemalt küberkurjategijate organisatsioonide jaoks, on alles näha, kas DarkSide suudab neid täita. Lõppude lõpuks jäävad haiglad lunavararünnakute kõige tõenäolisemate sihtmärkide hulka.

Lunavara tööriistad

DarkSide'i operaatorid muudavad oma pahatahtlikku tööriistakomplekti, et see vastaks praegu valitud sihtmärgile. Kuigi see meetod nõuab palju rohkem pingutust, kui lihtsalt kogu aeg sama lunavara käivitatava faili juurutamine, tagab see suurema eduvõimaluse. Lunavaraoht kustutab PowerShelli käsu kaudu ohustatud süsteemist Shadow Volume Copies. Seejärel lõpetab pahavara krüpteerimisrutiini ettevalmistamiseks paljud andmebaasid, rakendused, meilikliendid ja palju muud. DarkSide väldib aga järgmise protsessi rikkumist:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

TeamVieweri lisamine sellesse loendisse on üsna uudishimulik ja võib viidata sellele, et ohustaja tugineb ohustatud arvutitele kaugjuurdepääsu saamiseks rakendusele.

Kuvatav lunarahateade on samuti kohandatud praegu valitud sihtmärgi jaoks. Märkmed sisaldavad tavaliselt häkkerite kogutud andmete täpset hulka, selle tüüpi ja linki kaugserverile, kuhu andmed üles laaditi. Saadud teavet kasutatakse tugeva väljapressimisvahendina. Kui rikutud organisatsioon keeldub DarkSide'i nõudmisi täitmast, võidakse andmed kas konkurentidele müüa või lihtsalt avalikkusele avaldada ja kahjustada tõsiselt ohvri mainet.