DarkSide APT

„DarkSide APT“ yra kibernetinių nusikaltėlių grėsmės veikėjas, sukurtas pagal Ransomware-as-a-Corporation (RaaC) tendenciją. Grupė specializuojasi diegdama išpirkos reikalaujančių programų atakas prieš konkrečiai pasirinktus taikinius. Kai kurie infosec tyrinėtojai apskaičiavo, kad „DarkSide“ sugebėjo iš savo aukų išvilioti iš viso 1 mln.

Bendroji „DarkSide“ taktika, metodai ir procedūros (TTPS) turi didelių panašumų ir daugeliu atvejų sutampa su metodais, pastebėtais kitų APT, tokių kaip „ Sodinokibi“ , „ DoppelPaymer“, „ Maze“ ir „ NetWalker“ , atakų kampanijose. Tačiau „DarkSide“ išskiria labai tikslingas grupės požiūris atrenkant aukas, pritaikytų išpirkos reikalaujančių programų vykdomųjų failų kūrimas kiekvienai tikslinei organizacijai ir įmonei būdingos charakteristikos, kurias jie priėmė.

Oficialus pranešimas spaudai dėl papildomo teisėtumo

„DarkSide“ savo „Tor“ svetainėje paskelbtame pranešime spaudai paskelbė apie savo „ransomware“ operacijos pradžią. Nors tai ne pirmas kartas, kai grėsmės veikėjai kaip komunikacijos kanalą naudojasi pranešimais spaudai, tai vis dar retas atvejis. Tačiau pranešimai spaudai turi tam tikrų pranašumų – jie leidžia kibernetiniams nusikaltėliams sukurti profesionalaus subjekto įvaizdį, kuriuo galima pasitikėti, kad jie išlaikytų bet kokių derybų pabaigą ir tuo pat metu pritrauktų didesnį žiniasklaidos dėmesį, o tai gali būti panaudota kaip svertas prieš bet kokią pažeistą organizaciją. Galų gale, dauguma išpirkos reikalaujančių APT pradėjo rinkti privačius duomenis prieš užrakindami failus užkrėstuose įrenginiuose. Tada išfiltruota informacija yra ginkluojama, o žiniasklaidos įsitraukimas gali reikšti dar didesnę žalą paveiktos įmonės reputacijai.

Moralinio kodekso įsilaužėliai?

Savo pranešime spaudai „DarkSide“ įsilaužėliai apibūdina keletą būsimos veiklos aspektų. Akivaizdu, kad kibernetiniai nusikaltėliai susilaikys nuo bet kokių atakų prieš svarbius ar pažeidžiamus sektorius, tokius kaip ligoninės, mokyklos ir net vyriausybinės institucijos. Be to, APT grupė paaiškina, kad ketina siekti tikslų, pagrįstų to subjekto finansinėmis pajamomis, o tai reiškia, kad vengs įmonių, kurios ir taip patiria finansinių sunkumų. Nors tai tikrai kilnūs ketinimai, bent jau kibernetinei nusikaltėlių organizacijai, belieka laukti, ar „DarkSide“ pavyks juos įgyvendinti. Juk ligoninės išlieka tarp labiausiai tikėtinų išpirkos reikalaujančių programų atakų taikinių.

Ransomware įrankiai

„DarkSide“ operatoriai modifikuoja savo kenkėjiškų įrankių rinkinį, kad atitiktų šiuo metu pasirinktą tikslą. Nors šis metodas reikalauja daug daugiau pastangų, nei tiesiog nuolat diegti tą patį išpirkos reikalaujančios programos vykdomąjį failą, jis užtikrina didesnę sėkmės galimybę. Išpirkos programinės įrangos grėsmė ištrina šešėlines tūrio kopijas pažeistoje sistemoje per PowerShell komandą. Vėliau kenkėjiška programa išjungs daugybę duomenų bazių, taikomųjų programų, pašto klientų ir dar daugiau, kad pasirengtų pradėti šifravimo procedūrą. Tačiau „DarkSide“ neleidžia sugadinti šio proceso:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

„TeamViewer“ įtraukimas į šį sąrašą yra gana keistas ir gali reikšti, kad grėsmės veikėjas naudojasi programa, skirta nuotolinei prieigai prie pažeistų kompiuterių.

Rodomas išpirkos raštas taip pat bus pritaikytas šiuo metu pasirinktam taikiniui. Pastabose paprastai nurodomas tikslus įsilaužėlių surinktų duomenų kiekis, jų tipas ir nuoroda į nuotolinį serverį, į kurį buvo įkelti duomenys. Gauta informacija naudojama kaip stiprus turto prievartavimo įrankis. Jei pažeista organizacija atsisako patenkinti „DarkSide“ reikalavimus, duomenys gali būti parduoti konkurentams arba tiesiog paskelbti viešai ir smarkiai pakenkti aukos reputacijai.