DarkSide APT

A DarkSide APT egy kiberbűnöző fenyegetésekkel foglalkozó szereplő, amelyet a Ransomware-as-a-Corporation (RaaC) trend mintájára alakítottak ki. A csoport kifejezetten kiválasztott célpontok elleni ransomware támadások telepítésére specializálódott. Egyes infosec kutatók úgy becsülték, hogy a DarkSide-nak összesen 1 millió dollárt sikerült kicsikarnia áldozataitól.

A DarkSide általános taktikái, technikái és eljárásai (TTPS) nagy hasonlóságot mutatnak, és sok esetben átfedésben vannak azokkal a módszerekkel, amelyeket más APT-k, például a Sodinokibi , a DoppelPaymer, a Maze és a NetWalker támadási kampányaiban láthattunk. A DarkSide-ot azonban az különbözteti meg egymástól, hogy a csoport nagyon célzottan választja ki áldozatait, egyedi ransomware-eket hoz létre minden egyes megcélzott szervezet számára, valamint az általuk elfogadott vállalati jellemzőket.

Hivatalos sajtóközlemény a legitimitás növeléséért

A DarkSide a Tor honlapján közzétett sajtóközleményben jelentette be zsarolóvírus-működésének megkezdését. Bár nem ez az első alkalom, hogy a fenyegetés szereplői sajtóközleményekre hagyatkoznak kommunikációs csatornaként, ez még mindig ritka. A sajtóközleményeknek azonban van néhány előnyük – lehetővé teszik a kiberbűnözők számára, hogy egy olyan szakmai szervezet képét vetítsék ki, amelyre megbízhat, hogy fenntartsa a tárgyalások végét, miközben egyidejűleg nagyobb médiafigyelmet von maga után, ami felhatalmazásként használható fel bármely megsértett szervezet ellen. Végül is a legtöbb ransomware APT megkezdte a személyes adatok gyűjtését, mielőtt zárolták a fájlokat a fertőzött gépeken. A kiszivárgott információkat ezután felfegyverezik, és a média bevonása még nagyobb hírnevet jelenthet az érintett cégnek.

Hackerek erkölcsi kódexszel?

Sajtóközleményükben a DarkSide hackerei felvázolják jövőbeli működésük több aspektusát. Úgy tűnik, a kiberbűnözők tartózkodni fognak attól, hogy bármilyen támadást indítsanak olyan kritikus vagy sérülékeny szektorok ellen, mint a kórházak, iskolák, sőt még kormányzati szervek is. Ráadásul az APT-csoport tisztázza, hogy az adott entitás pénzügyi bevétele alapján kívánnak kitűzött célokat elérni, ami arra utal, hogy elkerülik azokat a vállalatokat, amelyek már amúgy is pénzügyi nehézségekkel küzdenek. Bár ezek valóban nemes szándékok, legalábbis egy kiberbűnöző szervezet számára, még várni kell, hogy a DarkSide-nak sikerül-e ezt követnie. Végül is a kórházak továbbra is a ransomware támadások legvalószínűbb célpontjai közé tartoznak.

Ransomware eszközök

A DarkSide operátorok módosítják a rosszindulatú eszközkészletüket, hogy megfeleljenek az aktuálisan kiválasztott célnak. Noha ez a módszer sokkal több erőfeszítést igényel, mintha ugyanazt a ransomware-t futtatná állandóan, nagyobb esélyt ad a sikerre. A ransomware fenyegetés egy PowerShell-parancs segítségével törli az árnyékkötet-másolatokat a feltört rendszeren. Ezt követően a rosszindulatú program számos adatbázist, alkalmazást, levelezőklienst és még sok mást megszüntet, előkészítve a titkosítási rutinját. A DarkSide azonban elkerüli a következő folyamatok megváltoztatását:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

A TeamViewer felvétele a listára meglehetősen furcsa, és azt sugallhatja, hogy a fenyegetettség szereplője az alkalmazásra támaszkodik a feltört számítógépek távoli eléréséhez.

A megjelenített váltságdíj-jegyzet szintén az aktuálisan kiválasztott célpontra lesz szabva. A feljegyzések általában tartalmazzák a hackerek által összegyűjtött adatok pontos mennyiségét, típusát, valamint egy hivatkozást arra a távoli szerverre, ahová az adatokat feltöltötték. A megszerzett információt hatékony zsarolóeszközként használják fel. Ha a megsértett szervezet megtagadja a DarkSide követeléseinek teljesítését, az adatokat eladhatják a versenytársaknak, vagy egyszerűen nyilvánosságra hozhatják, és súlyosan károsíthatják az áldozat hírnevét.