DarkSide APT

DarkSide APT

DarkSide APT je akter kibernetičkih prijetnji po uzoru na trend Ransomware-as-a-Corporation (RaaC). Grupa je specijalizirana za implementaciju ransomware napada na posebno odabrane mete. Neki istraživači infoseca procjenjuju da je DarkSide uspio iznuditi ukupno milijun dolara od svojih žrtava.

Opće taktike, tehnike i procedure (TTPS) DarkSidea pokazuju velike sličnosti i, u mnogim slučajevima, preklapaju se s metodama viđenim u napadnim kampanjama drugih APT-ova kao što su Sodinokibi , DoppelPaymer, Maze i NetWalker . Ono što DarkSide izdvaja, međutim, je visoko ciljani pristup grupe pri odabiru svojih žrtava, stvaranje prilagođenih izvršnih programa za ransomware za svaku ciljanu organizaciju i korporativne karakteristike koje su usvojili.

Službeno priopćenje za tisak za dodatnu legitimnost

DarkSide je objavio početak svoje operacije ransomwarea putem priopćenja za javnost objavljenog na njihovoj web stranici Tor. Iako ovo nije prvi put da se akteri prijetnji oslanjaju na priopćenja za javnost kao komunikacijski kanal, to je još uvijek rijetka pojava. Međutim, priopćenja za tisak imaju neke prednosti – omogućuju kibernetičkim kriminalcima da projiciraju imidž profesionalnog subjekta kojem se može vjerovati da će podržati njihov kraj bilo kakvih pregovora, a istovremeno privlače veću medijsku pozornost, što se može koristiti kao poluga protiv bilo koje organizacije koja je prekršila. Uostalom, većina ransomware APT-ova počela je prikupljati privatne podatke prije zaključavanja datoteka na zaraženim strojevima. Eksfiltrirane informacije se onda naoružavaju, a uključivanje medija moglo bi značiti još veću reputaciju pogođene tvrtke.

Hakeri s moralnim kodeksom?

U svom priopćenju za javnost, hakeri DarkSide ocrtavaju nekoliko aspekata svojih budućih operacija. Očito će se kibernetički kriminalci suzdržati od pokretanja bilo kakvih napada na kritične ili ranjive sektore kao što su bolnice, škole, pa čak i vladina tijela. Povrh toga, APT grupa pojašnjava da namjerava ići za ciljevima temeljenim na financijskim prihodima tog subjekta, što implicira da će izbjegavati tvrtke koje su već u financijskim poteškoćama. Iako su to neke uistinu plemenite namjere, barem za kibernetičku kriminalnu organizaciju, ostaje za vidjeti hoće li DarkSide uspjeti ostvariti. Uostalom, bolnice ostaju među najvjerojatnijim metama napada ransomware-a.

Alati za ransomware

Operatori DarkSide modificiraju svoj zlonamjerni alat kako bi odgovarali trenutno odabranoj meti. Iako ova metoda zahtijeva puno više truda od jednostavnog postavljanja istog izvršnog ransomwarea cijelo vrijeme, ona osigurava veće šanse za uspjeh. Prijetnja ransomware-a briše Shadow Volume Copies na kompromitiranom sustavu putem naredbe PowerShell. Nakon toga, zlonamjerni softver će prekinuti brojne baze podataka, aplikacije, klijente e-pošte i još mnogo toga kao pripremu za pokretanje rutine šifriranja. DarkSide, međutim, izbjegava petljanje u sljedeći proces:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

Uključivanje TeamViewera na taj popis prilično je znatiželjno i može sugerirati da se akter prijetnje oslanja na aplikaciju za daljinski pristup ugroženim računalima.

Prikazana poruka o otkupnini također će biti skrojena za trenutno odabranu metu. Bilješke obično uključuju točnu količinu podataka koje su prikupili hakeri, njihovu vrstu i vezu na udaljeni poslužitelj na koji su podaci učitani. Stečene informacije koriste se kao moćan alat za iznuđivanje. Ako probijena organizacija odbije ispuniti DarkSideove zahtjeve, podaci se mogu ili prodati konkurentima ili jednostavno objaviti javnosti i ozbiljno narušiti ugled žrtve.

Loading...