DarkSide APT

DarkSide APT תיאור

ה-DarkSide APT הוא שחקן איום פושעי סייבר שעוצב לפי מגמת Ransomware-as-a-Corporation (RaaC). הקבוצה מתמחה בפריסת התקפות כופר נגד מטרות שנבחרו במיוחד. כמה חוקרי infosec העריכו ש-DarkSide הצליחה לסחוט סכום כולל של מיליון דולר מקורבנותיה.

הטקטיקות, הטכניקות והנהלים הכלליים (TTPS) של DarkSide מראים קווי דמיון גדולים ובמקרים רבים חופפים לשיטות שנראו בקמפיינים של התקפה מ-APTs אחרים כגון Sodinokibi , DoppelPaymer, Maze ו- NetWalker . עם זאת, מה שמייחד את DarkSide הוא הגישה הממוקדת ביותר של הקבוצה בבחירת הקורבנות שלה, יצירת קובצי הפעלה מותאמים אישית של תוכנות כופר עבור כל ארגון ממוקד, והמאפיינים הארגוניים שהם אימצו.

הודעה רשמית לעיתונות לגיטימיות נוספת

DarkSide הודיעה על תחילת פעולת תוכנת הכופר שלהם באמצעות הודעה לעיתונות שפורסמה באתר Tor שלהם. אמנם זו לא הפעם הראשונה ששחקני איומים מסתמכים על הודעות לעיתונות כערוץ תקשורת, אבל זה עדיין אירוע נדיר. עם זאת, להודעות לעיתונות יש כמה יתרונות - הן מאפשרות לפושעי הסייבר להקרין תדמית של ישות מקצועית שניתן לסמוך עליה שתעמוד בסיום כל משא ומתן, תוך משיכת תשומת לב תקשורתית גדולה יותר בו זמנית, מה שיכול לשמש כמנוף נגד כל ארגון שנפרץ. אחרי הכל, רוב ה-APTs של תוכנות הכופר החלו לאסוף נתונים פרטיים לפני נעילת הקבצים במכונות הנגועות. לאחר מכן, המידע שהוחלף עובר נשק ומעורבות התקשורת עלולה לגרום לנזק מוניטין גדול עוד יותר עבור החברה המושפעת.

האקרים עם קוד מוסרי?

בהודעה לעיתונות שלהם, ההאקרים של DarkSide מתארים כמה היבטים של הפעילות העתידית שלהם. ככל הנראה, פושעי הסייבר ימנעו מביצוע התקפות כלשהן נגד מגזרים קריטיים או פגיעים כמו בתי חולים, בתי ספר ואפילו גופים ממשלתיים. נוסף על כך, קבוצת APT מבהירה כי בכוונתם ללכת אחרי יעדים המבוססים על ההכנסות הפיננסיות של אותו גוף, מה שמרמז שהם ימנעו מחברות שכבר מתקשות כלכלית. אמנם אלה כמה כוונות נעלות באמת, לפחות עבור ארגון פושעי סייבר, אך נותר לראות אם DarkSide יצליח לבצע. אחרי הכל, בתי חולים נשארים בין היעדים הסבירים ביותר להתקפות כופר.

כלי כופר

מפעילי DarkSide משנים את ערכת הכלים הזדונית שלהם כך שתתאים ליעד שנבחר כעת. אמנם שיטה זו דורשת הרבה יותר מאמץ מאשר פשוט לפרוס את אותה קובץ הפעלה של תוכנת כופר כל הזמן, היא מבטיחה סיכוי גבוה יותר להצלחה. איום תוכנת הכופר מוחק את עותקי ה-Shadow Volume במערכת שנפרצה באמצעות פקודת PowerShell. לאחר מכן, התוכנה הזדונית תפסיק מסדי נתונים רבים, יישומים, לקוחות דואר ועוד כהכנה לתחילת שגרת ההצפנה שלה. עם זאת, DarkSide נמנע מלהתעסק בתהליך הבא:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

ההכללה של TeamViewer ברשימה הזו היא די מוזרה ועשויה לרמוז ששחקן האיום מסתמך על האפליקציה לגישה מרחוק למחשבים שנפגעו.

שטר הכופר המוצג גם יהיה מותאם אישית עבור היעד שנבחר כעת. ההערות כוללות בדרך כלל את הכמות המדויקת של הנתונים שנאספו על ידי ההאקרים, סוגם וקישור לשרת המרוחק שאליו הועלו הנתונים. המידע הנרכש משמש ככלי סחיטה חזק. אם הארגון שנפרץ מסרב להיענות לדרישות של DarkSide, הנתונים יכולים להימכר למתחרים או פשוט לשחרר לציבור ולפגוע במוניטין של הקורבן קשות.