DarkSide APT

DarkSide APT Description

DarkSide APT គឺជាតួអង្គគំរាមកំហែងតាមអ៊ីនធឺណិតដែលត្រូវបានយកគំរូតាមនិន្នាការ Ransomware-as-a-Corporation (RaaC) ។ ក្រុមនេះមានជំនាញក្នុងការដាក់ពង្រាយការវាយប្រហារ ransomware ប្រឆាំងនឹងគោលដៅដែលបានជ្រើសរើសជាពិសេស។ អ្នកស្រាវជ្រាវ infosec មួយចំនួនបានប៉ាន់ស្មានថា DarkSide បានគ្រប់គ្រងជំរិតទារប្រាក់សរុបចំនួន 1 លានដុល្លារពីជនរងគ្រោះរបស់ខ្លួន។

យុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធីទូទៅ (TTPS) របស់ DarkSide បង្ហាញពីភាពស្រដៀងគ្នាដ៏អស្ចារ្យ ហើយក្នុងករណីជាច្រើន ត្រួតលើគ្នាជាមួយនឹងវិធីសាស្រ្តដែលបានឃើញនៅក្នុងយុទ្ធនាការវាយប្រហារពី APTs ផ្សេងទៀតដូចជា Sodinokibi , DoppelPaymer, Maze និង NetWalker ។ ទោះជាយ៉ាងណាក៏ដោយ អ្វីដែលធ្វើឱ្យ DarkSide ដាច់ពីគ្នា គឺជាវិធីសាស្រ្តកំណត់គោលដៅខ្ពស់របស់ក្រុមនៅពេលជ្រើសរើសជនរងគ្រោះ ការបង្កើតកម្មវិធី ransomware ផ្ទាល់ខ្លួនដែលអាចប្រតិបត្តិបានសម្រាប់អង្គការគោលដៅនីមួយៗ និងលក្ខណៈដូចក្រុមហ៊ុនដែលពួកគេបានអនុម័ត។

សេចក្តីប្រកាសព័ត៌មានផ្លូវការសម្រាប់ការបន្ថែមភាពស្របច្បាប់

DarkSide បានប្រកាសពីការចាប់ផ្តើមប្រតិបត្តិការ ransomware របស់ពួកគេតាមរយៈសេចក្តីប្រកាសព័ត៌មានដែលបានចេញផ្សាយនៅលើគេហទំព័រ Tor របស់ពួកគេ។ ខណៈពេលដែលនេះមិនមែនជាលើកទីមួយទេដែលតួអង្គគំរាមកំហែងបានពឹងផ្អែកលើការចេញផ្សាយព័ត៌មានជាបណ្តាញទំនាក់ទំនង វានៅតែជារឿងដ៏កម្រមួយ។ ទោះជាយ៉ាងណាក៏ដោយ សេចក្តីប្រកាសព័ត៌មានមានគុណសម្បត្តិមួយចំនួន - ពួកគេអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបង្ហាញរូបភាពនៃអង្គភាពវិជ្ជាជីវៈដែលអាចទុកចិត្តបានដើម្បីរក្សាការបញ្ចប់ការចរចារបស់ពួកគេ ខណៈពេលដែលទាក់ទាញការយកចិត្តទុកដាក់ពីប្រព័ន្ធផ្សព្វផ្សាយកាន់តែច្រើនក្នុងពេលដំណាលគ្នា ដែលអាចត្រូវបានប្រើជាឥទ្ធិពលប្រឆាំងនឹងអង្គការដែលបំពានណាមួយ។ យ៉ាងណាមិញ APTs ransomware ភាគច្រើនបានចាប់ផ្តើមប្រមូលទិន្នន័យឯកជន មុនពេលចាក់សោឯកសារនៅលើម៉ាស៊ីនដែលមានមេរោគ។ បន្ទាប់មកព័ត៌មានដែលត្រូវបានបណ្តេញចេញគឺត្រូវបានបំពាក់ដោយអាវុធ ហើយការចូលរួមរបស់ប្រព័ន្ធផ្សព្វផ្សាយអាចមានន័យថាការខូចខាតកេរ្តិ៍ឈ្មោះកាន់តែធំសម្រាប់ក្រុមហ៊ុនដែលរងផលប៉ះពាល់។

ពួក Hacker ដែលមានក្រមសីលធម៌?

នៅក្នុងសេចក្តីប្រកាសព័ត៌មានរបស់ពួកគេ ពួក Hacker DarkSide គូសបញ្ជាក់ទិដ្ឋភាពជាច្រើននៃប្រតិបត្តិការនាពេលអនាគតរបស់ពួកគេ។ ជាក់ស្តែង ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនឹងជៀសវាងពីការវាយប្រហារណាមួយប្រឆាំងនឹងវិស័យសំខាន់ៗ ឬដែលងាយរងគ្រោះ ដូចជាមន្ទីរពេទ្យ សាលារៀន និងសូម្បីតែអង្គភាពរដ្ឋាភិបាល។ លើសពីនេះ ក្រុម APT បញ្ជាក់ឱ្យច្បាស់ថាពួកគេមានបំណងដើរតាមគោលដៅដោយផ្អែកលើប្រាក់ចំណូលហិរញ្ញវត្ថុរបស់អង្គភាពនោះ ដោយបញ្ជាក់ថាពួកគេនឹងជៀសវាងក្រុមហ៊ុនដែលជួបបញ្ហាផ្នែកហិរញ្ញវត្ថុរួចហើយ។ ខណៈពេលដែលទាំងនេះគឺជាចេតនាដ៏ថ្លៃថ្នូ យ៉ាងហោចណាស់សម្រាប់អង្គការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត វានៅតែត្រូវមើលថាតើ DarkSide នឹងគ្រប់គ្រងដើម្បីតាមដានដែរឬទេ។ យ៉ាងណាមិញ មន្ទីរពេទ្យនៅតែស្ថិតក្នុងចំណោមគោលដៅដែលទំនងបំផុតនៃការវាយប្រហារ ransomware ។

ឧបករណ៍ Ransomware

ប្រតិបត្តិករ DarkSide កែប្រែកញ្ចប់ឧបករណ៍ព្យាបាទរបស់ពួកគេ ដើម្បីផ្គូផ្គងគោលដៅដែលបានជ្រើសរើសបច្ចុប្បន្ន។ ខណៈពេលដែលវិធីសាស្រ្តនេះតម្រូវឱ្យមានការខិតខំប្រឹងប្រែងច្រើនជាងការគ្រាន់តែដាក់ពង្រាយ ransomware ដូចគ្នាដែលអាចប្រតិបត្តិបានគ្រប់ពេលវេលា វាធានានូវឱកាសជោគជ័យខ្ពស់ជាង។ ការគំរាមកំហែង ransomware លុប Shadow Volume Copys នៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលតាមរយៈពាក្យបញ្ជា PowerShell ។ ក្រោយមក មេរោគនឹងបិទមូលដ្ឋានទិន្នន័យ កម្មវិធី កម្មវិធីអ៊ីមែល និងអ្វីៗជាច្រើនទៀតដែលជាការរៀបចំសម្រាប់ចាប់ផ្តើមទម្លាប់នៃការអ៊ិនគ្រីបរបស់វា។ ទោះយ៉ាងណាក៏ដោយ DarkSide ជៀសវាងការរំខានដំណើរការដូចខាងក្រោមៈ

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

ការដាក់បញ្ចូល TeamViewer នៅក្នុងបញ្ជីនោះគឺគួរឱ្យចង់ដឹងចង់ឃើញ ហើយអាចណែនាំថាតួអង្គគំរាមកំហែងពឹងផ្អែកលើកម្មវិធីសម្រាប់ការចូលប្រើពីចម្ងាយទៅកាន់កុំព្យូទ័រដែលត្រូវបានសម្របសម្រួល។

កំណត់ចំណាំតម្លៃលោះដែលបានបង្ហាញក៏នឹងត្រូវបានរៀបចំឡើងសម្រាប់គោលដៅដែលបានជ្រើសរើសបច្ចុប្បន្ន។ កំណត់ចំណាំជាធម្មតារួមមានចំនួនពិតប្រាកដនៃទិន្នន័យដែលប្រមូលបានដោយពួក Hacker ប្រភេទរបស់វា និងតំណភ្ជាប់ទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ ដែលទិន្នន័យត្រូវបានផ្ទុកឡើង។ ព័ត៌មានដែលទទួលបាន ត្រូវបានប្រើជាឧបករណ៍ជំរិតទារប្រាក់ដ៏មានឥទ្ធិពល។ ប្រសិនបើអង្គការបំពានបដិសេធមិនបំពេញតាមការទាមទាររបស់ DarkSide ទិន្នន័យអាចត្រូវបានលក់ទៅឱ្យដៃគូប្រកួតប្រជែង ឬគ្រាន់តែបញ្ចេញជាសាធារណៈ និងធ្វើឱ្យខូចកេរ្តិ៍ឈ្មោះរបស់ជនរងគ្រោះយ៉ាងធ្ងន់ធ្ងរ។