DarkSide APT

DarkSide APT یک عامل تهدید کننده مجرمان سایبری است که از روند Ransomware-as-a-a-Corporation (RaaC) الگوبرداری شده است. این گروه در استقرار حملات باج افزار علیه اهداف خاص انتخاب شده تخصص دارد. برخی از محققان infosec تخمین زده اند که DarkSide موفق شده است در مجموع یک میلیون دلار از قربانیان خود اخاذی کند.

تاکتیک‌ها، تکنیک‌ها و رویه‌های کلی DarkSide شباهت‌های زیادی را نشان می‌دهند و در بسیاری از موارد، با روش‌هایی که در کمپین‌های حمله از دیگر APT‌ها مانند Sodinokibi ، DoppelPaymer، Maze و NetWalker دیده می‌شود، همپوشانی دارند. با این حال، چیزی که DarkSide را متمایز می کند، رویکرد بسیار هدفمند این گروه در هنگام انتخاب قربانیان، ایجاد فایل های اجرایی باج افزار سفارشی برای هر سازمان هدف، و ویژگی های شرکتی است که آنها اتخاذ کرده اند.

بیانیه مطبوعاتی رسمی برای مشروعیت افزوده

DarkSide از طریق یک بیانیه مطبوعاتی منتشر شده در وب سایت Tor خود، شروع عملیات باج افزار خود را اعلام کرد. در حالی که این اولین بار نیست که بازیگران تهدید به بیانیه های مطبوعاتی به عنوان یک کانال ارتباطی تکیه می کنند، اما هنوز یک اتفاق نادر است. با این حال، بیانیه‌های مطبوعاتی دارای مزایایی هستند - آنها به مجرمان سایبری اجازه می‌دهند تصویری از یک نهاد حرفه‌ای ارائه دهند که می‌توان به آن اعتماد کرد تا از پایان مذاکرات حمایت کند و همزمان توجه رسانه‌های بزرگ‌تری را به خود جلب کند، که می‌تواند به‌عنوان اهرمی در برابر هر سازمان نقض‌شده استفاده شود. از این گذشته، بیشتر باج‌افزارهای APT شروع به جمع‌آوری داده‌های خصوصی قبل از قفل کردن فایل‌ها در دستگاه‌های آلوده کرده‌اند. اطلاعات استخراج‌شده سپس به سلاح تبدیل می‌شوند و دخالت رسانه‌ها می‌تواند به معنای آسیب بزرگ‌تر به اعتبار شرکت آسیب‌دیده باشد.

هکرها با کد اخلاقی؟

هکرهای DarkSide در بیانیه مطبوعاتی خود چندین جنبه از عملیات آینده خود را بیان می کنند. ظاهراً مجرمان سایبری از هرگونه حمله به بخش‌های حساس یا آسیب‌پذیر مانند بیمارستان‌ها، مدارس و حتی نهادهای دولتی خودداری خواهند کرد. علاوه بر این، گروه APT تصریح می کند که آنها قصد دارند اهدافی را بر اساس درآمد مالی آن نهاد دنبال کنند، به این معنی که از شرکت هایی که در حال حاضر از نظر مالی با مشکل مواجه هستند اجتناب خواهند کرد. در حالی که اینها برخی از اهداف واقعاً نجیب هستند، حداقل برای یک سازمان مجرم سایبری، باید دید که آیا DarkSide موفق به دنبال کردن آن خواهد شد یا خیر. به هر حال، بیمارستان‌ها در میان محتمل‌ترین اهداف حملات باج‌افزار باقی می‌مانند.

ابزارهای باج افزار

اپراتورهای DarkSide جعبه ابزار مخرب خود را برای مطابقت با هدف فعلی تغییر می دهند. در حالی که این روش به تلاش بسیار بیشتری نسبت به استقرار یک باج افزار اجرایی یکسان نیاز دارد، اما شانس موفقیت بیشتری را تضمین می کند. تهدید باج‌افزار، کپی‌های حجمی Shadow را در سیستم در معرض خطر از طریق یک فرمان PowerShell حذف می‌کند. پس از آن، بدافزار پایگاه‌های اطلاعاتی متعدد، برنامه‌های کاربردی، سرویس گیرندگان پست الکترونیکی و موارد دیگر را به عنوان آماده‌سازی برای شروع روال رمزگذاری خود پایان می‌دهد. با این حال، DarkSide از دستکاری در فرآیند زیر جلوگیری می کند:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

گنجاندن TeamViewer در آن لیست بسیار عجیب است و ممکن است نشان دهد که عامل تهدید به برنامه برای دسترسی از راه دور به رایانه های در معرض خطر متکی است.

یادداشت باج نمایش داده شده نیز برای هدف فعلی انتخاب شده ساخته خواهد شد. یادداشت‌ها معمولاً شامل مقدار دقیق داده‌های جمع‌آوری‌شده توسط هکرها، نوع آن و پیوندی به سرور راه دور که در آن داده‌ها بارگذاری شده‌اند، می‌شود. اطلاعات به دست آمده به عنوان یک ابزار اخاذی قوی استفاده می شود. اگر سازمان نقض شده از برآورده کردن خواسته‌های DarkSide امتناع کند، داده‌ها می‌توانند به رقبا فروخته شوند یا به سادگی برای عموم منتشر شوند و به شهرت قربانی آسیب جدی وارد کنند.