DarkSide APT
DarkSide APT ir kibernoziedznieku apdraudējums, kas veidots pēc Ransomware-as-a-Corporation (RaaC) tendences. Grupa specializējas ransomware uzbrukumu izvietošanā pret īpaši izvēlētiem mērķiem. Daži infosec pētnieki ir aprēķinājuši, ka DarkSide ir izdevies izspiest no upuriem kopumā 1 miljonu dolāru.
DarkSide vispārējā taktika, paņēmieni un procedūras (TTPS) uzrāda lielas līdzības un daudzos gadījumos pārklājas ar metodēm, kas novērotas citu APT, piemēram, Sodinokibi , DoppelPaymer, Maze un NetWalker uzbrukuma kampaņās. Tomēr DarkSide atšķir grupas ļoti mērķtiecīgā pieeja upuru atlasei, pielāgotu izspiedējvīrusu izpildāmo failu izveide katrai mērķorganizācijai, kā arī tās pieņemtās korporatīvās īpašības.
Oficiālais preses relīze par likumības palielināšanu
DarkSide paziņoja par savas izspiedējvīrusa darbības sākšanu, izmantojot paziņojumu presei, kas tika publicēta viņu Tor vietnē. Lai gan šī nav pirmā reize, kad draudu dalībnieki kā saziņas kanālu izmanto preses relīzes, tā joprojām ir reta parādība. Tomēr paziņojumiem presei ir dažas priekšrocības — tās ļauj kibernoziedzniekiem radīt tādas profesionālas vienības tēlu, kurai var uzticēties, lai atbalstītu jebkuru sarunu beigas, vienlaikus piesaistot lielāku plašsaziņas līdzekļu uzmanību, ko var izmantot kā sviru pret jebkuru pārkāpto organizāciju. Galu galā lielākā daļa izspiedējvīrusu APT ir sākuši vākt privātos datus pirms inficēto iekārtu failu bloķēšanas. Pēc tam izfiltrētā informācija tiek bruņota, un plašsaziņas līdzekļu iesaistīšanās varētu nozīmēt vēl lielāku kaitējumu skartā uzņēmuma reputācijai.
Hakeri ar morālo kodeksu?
Savā paziņojumā presei DarkSide hakeri izklāsta vairākus savas turpmākās darbības aspektus. Acīmredzot kibernoziedznieki atturēsies no jebkādiem uzbrukumiem kritiskām vai neaizsargātām nozarēm, piemēram, slimnīcām, skolām un pat valsts iestādēm. Turklāt APT grupa precizē, ka tā plāno sasniegt mērķus, kuru pamatā ir šīs vienības finanšu ieņēmumi, norādot, ka viņi izvairīsies no uzņēmumiem, kuriem jau tā ir finansiālas grūtības. Lai gan tie ir daži patiesi cēli nodomi, vismaz kibernoziedznieku organizācijai, atliek vien redzēt, vai DarkSide izdosies tos īstenot. Galu galā slimnīcas joprojām ir viens no visticamākajiem izspiedējvīrusu uzbrukumu mērķiem.
Ransomware rīki
DarkSide operatori pārveido savu ļaunprātīgo rīku komplektu, lai tas atbilstu pašlaik atlasītajam mērķim. Lai gan šī metode prasa daudz vairāk pūļu, nekā vienkārši visu laiku izvietojot vienu un to pašu izspiedējvīrusa izpildāmo failu, tā nodrošina lielākas izredzes gūt panākumus. Izpirkuma programmatūras draudi, izmantojot PowerShell komandu, apdraudētajā sistēmā izdzēš ēnu sējuma kopijas. Pēc tam ļaunprogrammatūra pārtrauks daudzas datu bāzes, lietojumprogrammas, pasta klientus un daudz ko citu, lai sagatavotos tās šifrēšanas rutīnas uzsākšanai. Tomēr DarkSide izvairās no manipulācijām ar šādu procesu:
- Vmcompute.exe
- Vmms.exe
- Vmwp.exe
- Svchost.exe
- TeamViewer.exe
- Explorer.exe
TeamViewer iekļaušana šajā sarakstā ir diezgan dīvaina un var likt domāt, ka apdraudējuma dalībnieks paļaujas uz lietojumprogrammu attālai piekļuvei apdraudētajiem datoriem.
Parādītā izpirkuma piezīme arī tiks pielāgota pašreiz izvēlētajam mērķim. Piezīmēs parasti ir ietverts precīzs hakeru savākto datu apjoms, to veids un saite uz attālo serveri, kurā dati tika augšupielādēti. Iegūtā informācija tiek izmantota kā spēcīgs izspiešanas līdzeklis. Ja pārkāptā organizācija atsakās izpildīt DarkSide prasības, datus var pārdot konkurentiem vai vienkārši izlaist sabiedrībai un nopietni kaitēt upura reputācijai.
