DarkSide APT

DarkSide APT Beskrivelse

DarkSide APT er en nettkriminell trusselaktør modellert etter Ransomware-as-a-Corporation (RaaC)-trenden. Gruppen spesialiserer seg på å distribuere løsepengevare-angrep mot spesifikt valgte mål. Noen infosec-forskere har anslått at DarkSide har klart å presse til sammen 1 million dollar fra ofrene.

De generelle taktikkene, teknikkene og prosedyrene (TTPS) til DarkSide viser store likheter og overlapper i mange tilfeller metodene man ser i angrepskampanjer fra andre APT-er som Sodinokibi , DoppelPaymer, Maze og NetWalker . Det som skiller DarkSide er imidlertid gruppens svært målrettede tilnærming når de velger ut ofrene, opprettelsen av tilpassede kjørbare løsepenger for hver målrettet organisasjon og de bedriftslignende egenskapene de har tatt i bruk.

Offisiell pressemelding for ekstra legitimitet

DarkSide kunngjorde starten på løsepengevareoperasjonen gjennom en pressemelding publisert på Tor-nettstedet deres. Selv om dette ikke er første gang trusselaktører stoler på pressemeldinger som kommunikasjonskanal, er det fortsatt en sjelden hendelse. Pressemeldinger har imidlertid noen fordeler – de lar nettkriminelle projisere et bilde av en profesjonell enhet som kan stole på å opprettholde slutten av alle forhandlinger samtidig som de tiltrekker seg større medieoppmerksomhet, noe som kan brukes som innflytelse mot enhver organisasjon som brytes. Tross alt har de fleste løsepenge-APT-er begynt å samle inn private data før de låser filene på de infiserte maskinene. Den eksfiltrerte informasjonen blir deretter bevæpnet og involvering av media kan bety enda større skade på omdømmet for det berørte selskapet.

Hackere med moralsk kode?

I deres pressemelding skisserer DarkSide-hackerne flere aspekter ved deres fremtidige operasjoner. Tilsynelatende vil cyberkriminelle avstå fra å starte angrep mot kritiske eller sårbare sektorer som sykehus, skoler og til og med statlige enheter. På toppen av det presiserer APT-gruppen at de har til hensikt å gå etter mål basert på den enhetens økonomiske inntekter, noe som innebærer at de vil unngå selskaper som allerede sliter økonomisk. Selv om dette er noen virkelig edle intensjoner, i det minste for en nettkriminell organisasjon, gjenstår det å se om DarkSide klarer å følge opp. Tross alt er sykehus fortsatt blant de mest sannsynlige målene for løsepengevareangrep.

Ransomware-verktøy

DarkSide-operatørene endrer deres ondsinnede verktøysett for å matche det valgte målet. Selv om denne metoden krever mye mer innsats enn å bare distribuere den samme kjørbare løsepengevaren hele tiden, sikrer den en høyere sjanse for suksess. Ransomware-trusselen sletter Shadow Volume Copies på det kompromitterte systemet gjennom en PowerShell-kommando. Etterpå vil skadelig programvare avslutte en rekke databaser, applikasjoner, e-postklienter og mer som en forberedelse for å starte krypteringsrutinen. DarkSide unngår imidlertid å tukle med følgende prosess:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

Inkluderingen av TeamViewer i denne listen er ganske nysgjerrig og kan tyde på at trusselaktøren er avhengig av applikasjonen for ekstern tilgang til de kompromitterte datamaskinene.

Den viste løsepengenotaen vil også være skreddersydd for det gjeldende valgte målet. Notatene inkluderer vanligvis den nøyaktige mengden data samlet inn av hackerne, dens type og en kobling til den eksterne serveren hvor dataene ble lastet opp. Den innhentede informasjonen brukes som et kraftig utpressingsverktøy. Hvis den krenkede organisasjonen nekter å oppfylle DarkSides krav, kan dataene enten selges til konkurrenter eller ganske enkelt frigis til offentligheten og skade offerets omdømme alvorlig.