DarkSide APT

DarkSide APT è un attore di minacce per criminali informatici modellato sulla tendenza Ransomware-as-a-Corporation (RaaC). Il gruppo è specializzato nella distribuzione di attacchi ransomware contro bersagli scelti in modo specifico. Alcuni ricercatori di infosec hanno stimato che DarkSide è riuscita a estorcere un totale di 1 milione di dollari alle sue vittime.

Le tattiche, le tecniche e le procedure generali (TTPS) di DarkSide mostrano grandi somiglianze e, in molti casi, si sovrappongono ai metodi visti nelle campagne di attacco di altri APT come Sodinokibi, DoppelPaymer, Maze e NetWalker. Ciò che distingue DarkSide, tuttavia, è l'approccio altamente mirato del gruppo nella selezione delle vittime, la creazione di eseguibili ransomware personalizzati per ciascuna organizzazione mirata e le caratteristiche di tipo aziendale che hanno adottato.

Comunicato stampa ufficiale per una maggiore legittimità

DarkSide ha annunciato l'inizio della loro operazione di ransomware attraverso un comunicato stampa pubblicato sul loro sito Web Tor. Anche se questa non è la prima volta che gli autori delle minacce si affidano ai comunicati stampa come canale di comunicazione, si tratta comunque di un evento raro. Tuttavia, i comunicati stampa hanno alcuni vantaggi: consentono ai criminali informatici di proiettare un'immagine di un'entità professionale di cui ci si può fidare per sostenere la loro fine di qualsiasi negoziazione attirando contemporaneamente una maggiore attenzione dei media, che può essere utilizzata come leva contro qualsiasi organizzazione violata. Dopotutto, la maggior parte degli APT ransomware ha iniziato a raccogliere dati privati prima di bloccare i file sulle macchine infette. Le informazioni esfiltrate vengono quindi utilizzate come arma e il coinvolgimento dei media potrebbe significare un danno reputazionale ancora maggiore per l'azienda interessata.

Hacker con codice morale?

Nel loro comunicato stampa, gli hacker di DarkSide delineano diversi aspetti delle loro operazioni future. A quanto pare, i criminali informatici si asterranno dal lanciare attacchi contro settori critici o vulnerabili come ospedali, scuole e persino entità governative. Inoltre, il gruppo APT chiarisce che intende perseguire obiettivi basati sui ricavi finanziari di tale entità, il che implica che eviteranno società che stanno già lottando finanziariamente. Sebbene queste siano intenzioni davvero nobili, almeno per un'organizzazione di criminali informatici, resta da vedere se DarkSide riuscirà a portare a termine. Dopotutto, gli ospedali rimangono tra gli obiettivi più probabili degli attacchi ransomware.

Strumenti ransomware

Gli operatori di DarkSide modificano il loro toolkit dannoso per abbinare l'obiettivo attualmente selezionato. Sebbene questo metodo richieda molto più impegno rispetto alla semplice distribuzione dello stesso eseguibile ransomware tutto il tempo, garantisce una maggiore possibilità di successo. La minaccia ransomware elimina le copie shadow del volume sul sistema compromesso tramite un comando di PowerShell. In seguito, il malware terminerà numerosi database, applicazioni, client di posta e altro come preparazione per l'avvio della routine di crittografia. DarkSide, tuttavia, evita di manomettere il seguente processo:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

L'inclusione di TeamViewer in tale elenco è piuttosto curiosa e potrebbe suggerire che l'attore della minaccia si affidi all'applicazione per l'accesso remoto ai computer compromessi.

La richiesta di riscatto visualizzata sarà anche fatta su misura per l'obiettivo attualmente scelto. Le note di solito includono la quantità esatta di dati raccolti dagli hacker, il loro tipo e un collegamento al server remoto in cui i dati sono stati caricati. Le informazioni acquisite vengono utilizzate come un potente strumento di estorsione. Se l'organizzazione violata rifiuta di soddisfare le richieste di DarkSide, i dati possono essere venduti ai concorrenti o semplicemente rilasciati al pubblico e danneggiare gravemente la reputazione della vittima.