다크사이드 APT

DarkSide APT는 RaaC(Ransomware-as-a-Corporation) 추세를 모델로 한 사이버 범죄 위협 행위자입니다. 이 그룹은 특별히 선택한 대상에 대해 랜섬웨어 공격을 배포하는 것을 전문으로 합니다. 일부 infosec 연구원은 DarkSide가 피해자로부터 총 100만 달러를 갈취했다고 추정했습니다.

DarkSide의 일반 전술, 기술 및 절차(TTPS)는 큰 유사성을 보여주며 많은 경우 Sodinokibi , DoppelPaymer, Maze 및 NetWalker 와 같은 다른 APT의 공격 캠페인에서 볼 수 있는 방법과 겹칩니다. 그러나 DarkSide를 차별화하는 것은 희생자를 선택할 때 그룹의 고도로 표적화된 접근 방식, 각 표적 조직에 대한 맞춤형 랜섬웨어 실행 파일 생성 및 채택한 기업과 유사한 특성입니다.

합법성 추가를 위한 공식 보도 자료

DarkSide는 Tor 웹사이트에 게시된 보도 자료를 통해 랜섬웨어 작업의 시작을 알렸습니다. 위협 행위자가 보도 자료를 커뮤니케이션 채널로 사용한 것은 이번이 처음은 아니지만 여전히 드문 일입니다. 그러나 보도 자료에는 몇 가지 장점이 있습니다. 사이버 범죄자가 모든 협상의 끝을 유지하는 동시에 더 큰 언론의 관심을 끌 수 있는 전문 기관의 이미지를 투영할 수 있도록 하여 침해된 조직에 대한 지렛대로 사용할 수 있습니다. 결국 대부분의 랜섬웨어 APT는 감염된 시스템의 파일을 잠그기 전에 개인 데이터를 수집하기 시작했습니다. 유출된 정보는 무기화되고 미디어의 개입은 영향을 받는 회사에 더 큰 평판 손상을 의미할 수 있습니다.

도덕률을 가진 해커?

보도 자료에서 DarkSide 해커는 향후 작업의 여러 측면을 간략하게 설명합니다. 분명히 사이버 범죄자들은 병원, 학교, 심지어 정부 기관과 같은 중요하거나 취약한 부문에 대한 공격을 자제할 것입니다. 또한 APT 그룹은 해당 기업의 재정적 수익을 기반으로 목표를 달성할 의사가 있음을 분명히 하여 이미 재정적으로 어려움을 겪고 있는 회사를 피할 것임을 암시합니다. 이것들은 진정으로 고귀한 의도이지만 적어도 사이버 범죄 조직에게는 DarkSide가 계속해서 따라갈 수 있을지 지켜봐야 합니다. 결국 병원은 랜섬웨어 공격의 가장 가능성 있는 대상 중 하나입니다.

랜섬웨어 도구

DarkSide 운영자는 현재 선택된 대상과 일치하도록 악성 툴킷을 수정합니다. 이 방법은 단순히 동일한 랜섬웨어 실행 파일을 항상 배포하는 것보다 훨씬 더 많은 노력이 필요하지만 더 높은 성공 확률을 보장합니다. 랜섬웨어 위협은 PowerShell 명령을 통해 손상된 시스템의 섀도우 볼륨 복사본을 삭제합니다. 그 후 맬웨어는 암호화 루틴을 시작하기 위한 준비로 수많은 데이터베이스, 응용 프로그램, 메일 클라이언트 등을 종료합니다. 그러나 DarkSide는 다음 프로세스를 변조하지 않습니다.

• VM컴퓨팅.exe
• VMMS.exe
• VMWp.exe
• Svchost.exe
• 팀뷰어.exe
• 익스플로러.exe

이 목록에 TeamViewer가 포함된 것은 다소 흥미롭고 위협 행위자가 감염된 컴퓨터에 대한 원격 액세스를 위해 애플리케이션에 의존한다는 것을 암시할 수 있습니다.

표시된 몸값 메모도 현재 선택한 대상에 맞게 조정됩니다. 메모에는 일반적으로 해커가 수집한 정확한 데이터 양, 유형 및 데이터가 업로드된 원격 서버에 대한 링크가 포함됩니다. 획득한 정보는 강력한 갈취 도구로 사용됩니다. 침해된 조직이 DarkSide의 요구 사항을 충족하기를 거부하는 경우 데이터를 경쟁업체에 판매하거나 단순히 일반에 공개하여 피해자의 평판을 심각하게 손상시킬 수 있습니다.