डार्कसाइड एपीटी

The DarkSide APT Ransomware-as-a-Corporation (RaaC) प्रवृति पछि मोडल गरिएको साइबर अपराधी खतरा अभिनेता हो। समूहले विशेष रूपमा चयन गरिएका लक्ष्यहरू विरुद्ध ransomware आक्रमणहरू तैनात गर्न माहिर छ। केही इन्फोसेक अन्वेषकहरूले अनुमान गरेका छन् कि डार्कसाइडले आफ्ना पीडितहरूबाट कुल $ 1 मिलियन जबरजस्ती फिर्ता गर्न व्यवस्थित गरेको छ।

DarkSide को सामान्य रणनीति, प्रविधि, र प्रक्रियाहरू (TTPS) ले धेरै समानताहरू देखाउँदछ र धेरै अवस्थामा, Sodinokibi , DoppelPaymer, Maze र NetWalker जस्ता अन्य APT बाट आक्रमण अभियानहरूमा देखिएका विधिहरूसँग ओभरल्याप हुन्छ। डार्कसाइडलाई कुन कुराले अलग राख्छ, तथापि, समूहको उच्च लक्षित दृष्टिकोण हो जब यसको पीडितहरू छनौट गर्दा, प्रत्येक लक्षित संगठनको लागि अनुकूलन ransomware कार्यान्वयन योग्यहरूको सिर्जना, र तिनीहरूले अपनाएका कर्पोरेट-जस्तो विशेषताहरू।

थप वैधताको लागि आधिकारिक प्रेस विज्ञप्ति

डार्कसाइडले उनीहरूको टोर वेबसाइटमा प्रकाशित एक प्रेस विज्ञप्ति मार्फत उनीहरूको ransomware सञ्चालनको सुरुवात घोषणा गर्‍यो। यद्यपि यो पहिलो पटक होइन जब धम्की अभिनेताहरूले सञ्चार च्यानलको रूपमा प्रेस विज्ञप्तिमा भर परेका छन्, यो अझै पनि दुर्लभ घटना हो। यद्यपि, प्रेस विज्ञप्तिमा केही फाइदाहरू छन् - तिनीहरूले साइबर अपराधीहरूलाई व्यावसायिक संस्थाको छवि प्रस्तुत गर्न अनुमति दिन्छ जुन कुनै पनि वार्तालापको अन्त्यलाई समर्थन गर्न विश्वास गर्न सकिन्छ जबकि ठूला मिडियाको ध्यान एकै साथ आकर्षित गर्दछ, जुन कुनै पनि उल्लंघन गरिएको संगठन विरुद्ध लाभ उठाउन सकिन्छ। आखिर, धेरैजसो ransomware APTs ले संक्रमित मेसिनहरूमा फाइलहरू लक गर्नु अघि निजी डेटा सङ्कलन गर्न थालेका छन्। बाहिर निकालिएको जानकारीलाई त्यसपछि हतियार बनाइन्छ र मिडियाको संलग्नताले प्रभावित कम्पनीको लागि अझ ठूलो प्रतिष्ठालाई क्षति पुर्‍याउन सक्छ।

नैतिक संहिताको साथ ह्याकरहरू?

तिनीहरूको प्रेस विज्ञप्तिमा, डार्कसाइड ह्याकरहरूले उनीहरूको भविष्यका कार्यहरूका धेरै पक्षहरूलाई रूपरेखा दिन्छन्। स्पष्ट रूपमा, साइबर अपराधीहरूले अस्पताल, विद्यालय र सरकारी निकायहरू जस्ता महत्वपूर्ण वा कमजोर क्षेत्रहरू विरुद्ध कुनै पनि आक्रमण सुरु गर्नबाट टाढा रहनेछन्। यसको शीर्षमा, एपीटी समूहले स्पष्ट गर्दछ कि तिनीहरू त्यो संस्थाको वित्तीय राजस्वको आधारमा लक्ष्यहरू पछ्याउन चाहन्छन्, तिनीहरूले पहिले नै आर्थिक रूपमा संघर्ष गरिरहेका कम्पनीहरूलाई बेवास्ता गर्ने संकेत गर्दछ। जबकि यी केहि साँच्चै महान इरादाहरू छन्, कम्तिमा एक साइबर अपराधी संगठनको लागि, यो हेर्न बाँकी छ कि डार्कसाइडले पछ्याउन प्रबन्ध गर्दछ। आखिर, अस्पतालहरू ransomware आक्रमणहरूको सबैभन्दा सम्भावित लक्ष्यहरू मध्ये रहन्छन्।

Ransomware उपकरणहरू

डार्कसाइड अपरेटरहरूले हाल चयन गरिएको लक्ष्यसँग मेल खाने आफ्नो मालिसियस टुलकिट परिमार्जन गर्छन्। यद्यपि यो विधिलाई सँधै उही ransomware कार्यान्वयनयोग्य प्रयोग गर्नु भन्दा धेरै प्रयास चाहिन्छ, यसले सफलताको उच्च मौका सुनिश्चित गर्दछ। ransomware खतराले PowerShell आदेश मार्फत सम्झौता प्रणालीमा छाया भोल्युम प्रतिलिपिहरू मेटाउँछ। पछि, मालवेयरले यसको एन्क्रिप्शन दिनचर्या सुरु गर्नको लागि तयारीको रूपमा असंख्य डाटाबेसहरू, अनुप्रयोगहरू, मेल क्लाइन्टहरू, र थपलाई समाप्त गर्नेछ। डार्कसाइड, तथापि, निम्न प्रक्रियासँग छेडछाड गर्नबाट जोगिन:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

त्यो सूचीमा TeamViewer को समावेश बरु उत्सुक छ र सुझाव दिन्छ कि खतरा अभिनेता सम्झौता कम्प्युटरहरूमा रिमोट पहुँचको लागि अनुप्रयोगमा निर्भर गर्दछ।

प्रदर्शन गरिएको फिरौती नोट पनि हाल चयन गरिएको लक्ष्यको लागि उपयुक्त हुनेछ। नोटहरूमा सामान्यतया ह्याकरहरूले सङ्कलन गरेको डाटाको सही मात्रा, यसको प्रकार, र डेटा अपलोड गरिएको रिमोट सर्भरको लिङ्क समावेश हुन्छ। प्राप्त जानकारी एक शक्तिशाली जबरजस्ती उपकरण को रूप मा प्रयोग गरिन्छ। यदि उल्लङ्घन गरिएको संस्थाले डार्कसाइडका मागहरू पूरा गर्न अस्वीकार गर्छ भने, डाटा या त प्रतिस्पर्धीहरूलाई बेच्न सकिन्छ वा सार्वजनिक रूपमा जारी गर्न सकिन्छ र पीडितको प्रतिष्ठालाई गम्भीर रूपमा हानि पुर्‍याउँछ।