APT Sisi Gelap

APT DarkSide ialah pelakon ancaman jenayah siber yang dimodelkan mengikut trend Ransomware-as-a-Corporation (RaaC). Kumpulan itu mengkhusus dalam menggunakan serangan perisian tebusan terhadap sasaran yang dipilih secara khusus. Beberapa penyelidik infosec telah menganggarkan bahawa DarkSide telah berjaya memeras sejumlah $1 juta daripada mangsanya.

Taktik, teknik dan prosedur umum (TTPS) DarkSide menunjukkan persamaan yang hebat dan, dalam banyak kes, bertindih dengan kaedah yang dilihat dalam kempen serangan daripada APT lain seperti Sodinokibi , DoppelPaymer, Maze dan NetWalker . Walau bagaimanapun, apa yang membezakan DarkSide ialah pendekatan kumpulan yang sangat disasarkan apabila memilih mangsanya, penciptaan perisian tebusan tersuai boleh laku untuk setiap organisasi yang disasarkan dan ciri seperti korporat yang telah mereka pakai.

Siaran Akhbar Rasmi untuk Kesahihan Ditambah

DarkSide mengumumkan permulaan operasi perisian tebusan mereka melalui siaran akhbar yang diterbitkan di laman web Tor mereka. Walaupun ini bukan kali pertama pelakon ancaman bergantung pada siaran akhbar sebagai saluran komunikasi, ia masih jarang berlaku. Walau bagaimanapun, siaran akhbar memang mempunyai beberapa kelebihan - ia membenarkan penjenayah siber menonjolkan imej entiti profesional yang boleh dipercayai untuk menyokong sebarang rundingan mereka sambil menarik perhatian media yang lebih besar secara serentak, yang boleh digunakan sebagai leverage terhadap mana-mana organisasi yang dilanggar. Lagipun, kebanyakan APT perisian tebusan telah mula mengumpul data peribadi sebelum mengunci fail pada mesin yang dijangkiti. Maklumat yang dieksfiltrasi kemudiannya dipersenjatai dan penglibatan media boleh menyebabkan kerosakan reputasi yang lebih besar bagi syarikat yang terjejas.

Penggodam dengan Kod Moral?

Dalam siaran akhbar mereka, penggodam DarkSide menggariskan beberapa aspek operasi masa depan mereka. Nampaknya, penjenayah siber akan mengelak daripada melancarkan sebarang serangan terhadap sektor kritikal atau terdedah seperti hospital, sekolah, dan juga entiti kerajaan. Selain itu, kumpulan APT menjelaskan bahawa mereka berhasrat untuk mengejar sasaran berdasarkan hasil kewangan entiti itu, membayangkan bahawa mereka akan mengelakkan syarikat yang sudah bergelut dari segi kewangan. Walaupun ini adalah beberapa niat yang benar-benar mulia, sekurang-kurangnya untuk organisasi penjenayah siber, ia masih harus dilihat jika DarkSide akan berjaya mengikutinya. Lagipun, hospital kekal antara sasaran paling mungkin serangan ransomware.

Alat Ransomware

Pengendali DarkSide mengubah suai kit alat berniat jahat mereka untuk memadankan sasaran yang dipilih pada masa ini. Walaupun kaedah ini memerlukan lebih banyak usaha daripada hanya menggunakan perisian tebusan yang sama boleh laku sepanjang masa, ia memastikan peluang kejayaan yang lebih tinggi. Ancaman perisian tebusan memadamkan Salinan Volume Bayangan pada sistem yang terjejas melalui arahan PowerShell. Selepas itu, perisian hasad akan menamatkan banyak pangkalan data, aplikasi, pelanggan mel dan banyak lagi sebagai persediaan untuk memulakan rutin penyulitannya. DarkSide, bagaimanapun, mengelak daripada mengganggu proses berikut:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

Kemasukan TeamViewer dalam senarai itu agak ingin tahu dan mungkin mencadangkan bahawa aktor ancaman bergantung pada aplikasi untuk akses jauh ke komputer yang terjejas.

Nota tebusan yang dipaparkan juga akan dibuat khusus untuk sasaran yang dipilih pada masa ini. Nota biasanya termasuk jumlah tepat data yang dikumpul oleh penggodam, jenisnya dan pautan ke pelayan jauh tempat data itu dimuat naik. Maklumat yang diperoleh digunakan sebagai alat pemerasan yang kuat. Jika organisasi yang dilanggar itu enggan memenuhi permintaan DarkSide, data itu boleh dijual kepada pesaing atau hanya dikeluarkan kepada umum dan merosakkan reputasi mangsa dengan teruk.