DarkSide APT

DarkSide APT on kyberrikollinen uhkien toimija, joka on mallinnettu Ransomware-as-a-Corporation (RaaC) -trendin mukaan. Ryhmä on erikoistunut ransomware-hyökkäyksiä vastaan erityisesti valittuja kohteita vastaan. Jotkut infosec-tutkijat ovat arvioineet, että DarkSiden on onnistunut kiristää uhreilta yhteensä miljoona dollaria.

DarkSiden yleiset taktiikat, tekniikat ja menettelyt (TTPS) osoittavat suuria yhtäläisyyksiä ja ovat monissa tapauksissa päällekkäisiä muiden APT:iden, kuten Sodinokibin , DoppelPaymerin, Mazen ja NetWalkerin , hyökkäyskampanjoissa havaittujen menetelmien kanssa. DarkSiden erottaa kuitenkin ryhmän erittäin kohdennettu lähestymistapa uhrien valinnassa, räätälöityjen kiristysohjelmien suoritustiedostojen luominen kullekin kohdeorganisaatiolle ja niiden omaksumat yritysmäiset ominaisuudet.

Virallinen lehdistötiedote legitimiteetin lisäämisestä

DarkSide ilmoitti kiristyshaittaohjelmansa aloittamisesta lehdistötiedotteessa, joka julkaistiin heidän Tor-verkkosivustollaan. Vaikka tämä ei ole ensimmäinen kerta, kun uhkatoimijat luottavat lehdistötiedotteisiin viestintäkanavana, se on edelleen harvinainen tapaus. Lehdistötiedotteilla on kuitenkin joitain etuja - niiden avulla kyberrikolliset voivat heijastaa kuvan ammatillisesta kokonaisuudesta, johon voidaan luottaa neuvottelujen päätteeksi ja joka herättää samanaikaisesti suurempaa mediahuomiota, jota voidaan käyttää vipuvaikutuksena mitä tahansa rikkoutunutta organisaatiota vastaan. Loppujen lopuksi useimmat ransomware APT:t ovat alkaneet kerätä yksityisiä tietoja ennen kuin ne lukitsevat tartunnan saaneiden koneiden tiedostot. Karkotetut tiedot asetetaan sitten aseiksi, ja tiedotusvälineiden osallistuminen voi merkitä vielä suurempaa mainevauriota asianomaiselle yritykselle.

Hakkerit, joilla on moraalisäännöstö?

Lehdistötiedotteessaan DarkSiden hakkerit hahmottelevat useita näkökohtia tulevasta toiminnastaan. Ilmeisesti kyberrikolliset pidättäytyvät hyökkäyksistä kriittisiä tai haavoittuvia sektoreita, kuten sairaaloita, kouluja ja jopa valtion elimiä, vastaan. Tämän lisäksi APT-ryhmä selventää, että se aikoo saavuttaa tavoitteet, jotka perustuvat kyseisen yrityksen taloudellisiin tuloihin, mikä tarkoittaa, että he välttävät yrityksiä, joilla on jo ennestään taloudellisia vaikeuksia. Vaikka nämä ovat todella jaloja aikomuksia, ainakin kyberrikollisjärjestölle, jää nähtäväksi, onnistuuko DarkSide toteuttamaan niitä. Loppujen lopuksi sairaalat ovat edelleen lunnasohjelmahyökkäysten todennäköisimpiä kohteita.

Ransomware-työkalut

DarkSide-operaattorit muokkaavat haitallisia työkalujaan vastaamaan tällä hetkellä valittua kohdetta. Vaikka tämä menetelmä vaatii paljon enemmän vaivaa kuin vain saman kiristysohjelman suoritettavan tiedoston käyttöönotto koko ajan, se varmistaa suuremman onnistumismahdollisuuden. Kiristysohjelmauhka poistaa vaarantuneen järjestelmän Shadow Volume Copies -kopiot PowerShell-komennolla. Myöhemmin haittaohjelma sulkee lukuisia tietokantoja, sovelluksia, sähköpostiohjelmia ja paljon muuta valmistautuessaan aloittamaan salausrutiininsa. DarkSide kuitenkin välttää seuraavan prosessin muuttamisen:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

TeamViewerin sisällyttäminen tähän luetteloon on melko utelias ja saattaa viitata siihen, että uhkatekijä luottaa sovellukseen päästäkseen etäkäyttöön vaarantuneisiin tietokoneisiin.

Näytössä oleva lunnasilmoitus on myös räätälöity tällä hetkellä valitulle kohteelle. Muistiinpanot sisältävät yleensä tarkan hakkereiden keräämän tiedon määrän, sen tyypin ja linkin etäpalvelimeen, jolle tiedot on ladattu. Hankittua tietoa käytetään tehokkaana kiristysvälineenä. Jos rikottu organisaatio kieltäytyy täyttämästä DarkSiden vaatimuksia, tiedot voidaan joko myydä kilpailijoille tai yksinkertaisesti luovuttaa yleisölle ja vahingoittaa uhrin mainetta vakavasti.