DarkSide APT
डार्कसाइड एपीटी रैंसमवेयर-ए-कॉरपोरेशन (आरएएसी) की प्रवृत्ति के बाद तैयार किया गया साइबर खतरा है। समूह विशेष रूप से चुने गए लक्ष्यों के खिलाफ रैंसमवेयर हमलों को तैनात करने में माहिर है। कुछ infosec शोधकर्ताओं ने अनुमान लगाया है कि DarkSide अपने पीड़ितों से कुल $ 1 मिलियन निकालने में कामयाब रहा है।
सामान्य रणनीति, तकनीक, और प्रक्रियाओं (टीटीपीएस) Darkside के कई मामलों में महान समानता दिखाने के लिए और,, विधियों जैसे अन्य Apts से हमले अभियानों में देखा के साथ ओवरलैप Sodinokibi , DoppelPaymer, भूलभुलैया और NetWalker । हालांकि, डार्कसाइड को अलग करता है, हालांकि, पीड़ितों का चयन करते समय समूह का उच्च लक्षित दृष्टिकोण है, प्रत्येक लक्षित संगठन के लिए कस्टम रैंसमवेयर निष्पादन का निर्माण, और कॉर्पोरेट-जैसी विशेषताएं जो उन्होंने अपनाई हैं।
जोड़ा गया वैधता के लिए आधिकारिक प्रेस विज्ञप्ति
डार्कसाइड ने अपने टोर वेबसाइट पर प्रकाशित एक प्रेस विज्ञप्ति के माध्यम से अपने रैंसमवेयर ऑपरेशन की शुरुआत की घोषणा की। हालांकि यह पहली बार नहीं है कि खतरे के अभिनेताओं ने संचार चैनल के रूप में प्रेस विज्ञप्ति पर भरोसा किया है, यह अभी भी एक दुर्लभ घटना है। हालांकि, प्रेस विज्ञप्ति में कुछ फायदे हैं - वे साइबर अपराधियों को एक पेशेवर इकाई की छवि पेश करने की अनुमति देते हैं, जिस पर एक साथ बड़े मीडिया का ध्यान आकर्षित करते हुए किसी भी वार्ता के अपने अंत को बनाए रखने के लिए भरोसा किया जा सकता है, जिसका उपयोग उनके टूटे हुए संगठन के खिलाफ लीवरेज के रूप में किया जा सकता है। आखिरकार, अधिकांश रैंसमवेयर एपीटी ने संक्रमित मशीनों पर फ़ाइलों को लॉक करने से पहले निजी डेटा एकत्र करना शुरू कर दिया है। एक्सफ़िल्ट की गई जानकारी को तब हथियारबंद कर दिया जाता है और मीडिया की भागीदारी का मतलब प्रभावित कंपनी के लिए और भी बड़ा प्रतिष्ठित नुकसान हो सकता है।
मोरल कोड वाले हैकर्स?
अपनी प्रेस विज्ञप्ति में, डार्कसाइड हैकर्स ने अपने भविष्य के संचालन के कई पहलुओं की रूपरेखा तैयार की है। जाहिर है, साइबर अपराधियों को अस्पतालों, स्कूलों और यहां तक कि सरकारी संस्थाओं जैसे महत्वपूर्ण या कमजोर क्षेत्रों के खिलाफ किसी भी हमले को शुरू करने से रोक दिया जाएगा। उसके शीर्ष पर, एपीटी समूह स्पष्ट करता है कि वे उस इकाई के वित्तीय राजस्व के आधार पर लक्ष्य के बाद जाने का इरादा रखते हैं, यह कहते हुए कि वे उन कंपनियों से बचेंगे जो पहले से ही आर्थिक रूप से संघर्ष कर रहे हैं। हालांकि ये कुछ सही मायने में नेक इरादे हैं, कम से कम एक साइबर संगठन के लिए, यह देखा जाना चाहिए कि क्या डार्कसाइड का पालन करना होगा। आखिरकार, अस्पताल रैंसमवेयर हमलों के सबसे संभावित लक्ष्यों में से एक हैं।
रैंसमवेयर टूल्स
DarkSide ऑपरेटरों वर्तमान में चयनित लक्ष्य से मिलान करने के लिए अपने दुर्भावनापूर्ण टूलकिट को संशोधित करते हैं। जबकि इस पद्धति को हर समय एक ही रैंसमवेयर निष्पादन योग्य तैनात करने की तुलना में बहुत अधिक प्रयास की आवश्यकता होती है, यह सफलता की एक उच्च संभावना सुनिश्चित करता है। रैंसमवेयर का खतरा पॉवरशेल कमांड के माध्यम से समझौता प्रणाली पर शैडो वॉल्यूम कॉपियों को हटा देता है। बाद में, मैलवेयर अपने एन्क्रिप्शन रूटीन को शुरू करने की तैयारी के रूप में कई डेटाबेस, एप्लिकेशन, मेल क्लाइंट और बहुत कुछ समाप्त कर देगा। DarkSide, हालांकि, निम्नलिखित प्रक्रिया के साथ छेड़छाड़ से बचता है:
- Vmcompute.exe
- Vmms.exe
- Vmwp.exe
- Svchost.exe
- TeamViewer.exe
- Explorer.exe
उस सूची में टीम व्यूअर को शामिल करने की बजाय उत्सुकता है और यह सुझाव दे सकता है कि खतरा अभिनेता समझौता किए गए कंप्यूटरों के रिमोट एक्सेस के लिए आवेदन पर निर्भर है।
प्रदर्शित फिरौती नोट वर्तमान में चुने गए लक्ष्य के लिए भी दर्जी होगा। नोटों में आमतौर पर हैकर्स द्वारा एकत्र किए गए डेटा की सटीक मात्रा, उसका प्रकार और रिमोट सर्वर का लिंक शामिल होता है जहां डेटा अपलोड किया गया था। अधिग्रहीत जानकारी का उपयोग एक शक्तिशाली एक्सटॉर्शन टूल के रूप में किया जाता है। यदि टूटा हुआ संगठन डार्कसाइड की मांगों को पूरा करने से इनकार करता है, तो डेटा प्रतियोगियों को बेचा जा सकता है या बस जनता के लिए जारी किया जा सकता है और पीड़ित की प्रतिष्ठा को गंभीर रूप से नुकसान पहुंचा सकता है।
