DarkSide APT
DarkSide APT یک عامل تهدید کننده مجرمان سایبری است که از روند Ransomware-as-a-a-Corporation (RaaC) الگوبرداری شده است. این گروه در استقرار حملات باج افزار علیه اهداف خاص انتخاب شده تخصص دارد. برخی از محققان infosec تخمین زده اند که DarkSide موفق شده است در مجموع یک میلیون دلار از قربانیان خود اخاذی کند.
تاکتیکها، تکنیکها و رویههای کلی DarkSide شباهتهای زیادی را نشان میدهند و در بسیاری از موارد، با روشهایی که در کمپینهای حمله از دیگر APTها مانند Sodinokibi ، DoppelPaymer، Maze و NetWalker دیده میشود، همپوشانی دارند. با این حال، چیزی که DarkSide را متمایز می کند، رویکرد بسیار هدفمند این گروه در هنگام انتخاب قربانیان، ایجاد فایل های اجرایی باج افزار سفارشی برای هر سازمان هدف، و ویژگی های شرکتی است که آنها اتخاذ کرده اند.
بیانیه مطبوعاتی رسمی برای مشروعیت افزوده
DarkSide از طریق یک بیانیه مطبوعاتی منتشر شده در وب سایت Tor خود، شروع عملیات باج افزار خود را اعلام کرد. در حالی که این اولین بار نیست که بازیگران تهدید به بیانیه های مطبوعاتی به عنوان یک کانال ارتباطی تکیه می کنند، اما هنوز یک اتفاق نادر است. با این حال، بیانیههای مطبوعاتی دارای مزایایی هستند - آنها به مجرمان سایبری اجازه میدهند تصویری از یک نهاد حرفهای ارائه دهند که میتوان به آن اعتماد کرد تا از پایان مذاکرات حمایت کند و همزمان توجه رسانههای بزرگتری را به خود جلب کند، که میتواند بهعنوان اهرمی در برابر هر سازمان نقضشده استفاده شود. از این گذشته، بیشتر باجافزارهای APT شروع به جمعآوری دادههای خصوصی قبل از قفل کردن فایلها در دستگاههای آلوده کردهاند. اطلاعات استخراجشده سپس به سلاح تبدیل میشوند و دخالت رسانهها میتواند به معنای آسیب بزرگتر به اعتبار شرکت آسیبدیده باشد.
هکرها با کد اخلاقی؟
هکرهای DarkSide در بیانیه مطبوعاتی خود چندین جنبه از عملیات آینده خود را بیان می کنند. ظاهراً مجرمان سایبری از هرگونه حمله به بخشهای حساس یا آسیبپذیر مانند بیمارستانها، مدارس و حتی نهادهای دولتی خودداری خواهند کرد. علاوه بر این، گروه APT تصریح می کند که آنها قصد دارند اهدافی را بر اساس درآمد مالی آن نهاد دنبال کنند، به این معنی که از شرکت هایی که در حال حاضر از نظر مالی با مشکل مواجه هستند اجتناب خواهند کرد. در حالی که اینها برخی از اهداف واقعاً نجیب هستند، حداقل برای یک سازمان مجرم سایبری، باید دید که آیا DarkSide موفق به دنبال کردن آن خواهد شد یا خیر. به هر حال، بیمارستانها در میان محتملترین اهداف حملات باجافزار باقی میمانند.
ابزارهای باج افزار
اپراتورهای DarkSide جعبه ابزار مخرب خود را برای مطابقت با هدف فعلی تغییر می دهند. در حالی که این روش به تلاش بسیار بیشتری نسبت به استقرار یک باج افزار اجرایی یکسان نیاز دارد، اما شانس موفقیت بیشتری را تضمین می کند. تهدید باجافزار، کپیهای حجمی Shadow را در سیستم در معرض خطر از طریق یک فرمان PowerShell حذف میکند. پس از آن، بدافزار پایگاههای اطلاعاتی متعدد، برنامههای کاربردی، سرویس گیرندگان پست الکترونیکی و موارد دیگر را به عنوان آمادهسازی برای شروع روال رمزگذاری خود پایان میدهد. با این حال، DarkSide از دستکاری در فرآیند زیر جلوگیری می کند:
- Vmcompute.exe
- Vmms.exe
- Vmwp.exe
- Svchost.exe
- TeamViewer.exe
- Explorer.exe
گنجاندن TeamViewer در آن لیست بسیار عجیب است و ممکن است نشان دهد که عامل تهدید به برنامه برای دسترسی از راه دور به رایانه های در معرض خطر متکی است.
یادداشت باج نمایش داده شده نیز برای هدف فعلی انتخاب شده ساخته خواهد شد. یادداشتها معمولاً شامل مقدار دقیق دادههای جمعآوریشده توسط هکرها، نوع آن و پیوندی به سرور راه دور که در آن دادهها بارگذاری شدهاند، میشود. اطلاعات به دست آمده به عنوان یک ابزار اخاذی قوی استفاده می شود. اگر سازمان نقض شده از برآورده کردن خواستههای DarkSide امتناع کند، دادهها میتوانند به رقبا فروخته شوند یا به سادگی برای عموم منتشر شوند و به شهرت قربانی آسیب جدی وارد کنند.