DarkSide APT

De DarkSide APT is een cybercriminele dreigingsacteur gemodelleerd naar de Ransomware-as-a-Corporation (RaaC) -trend. De groep is gespecialiseerd in het inzetten van ransomware-aanvallen op specifiek gekozen doelen. Sommige infosec-onderzoekers schatten dat DarkSide erin is geslaagd om in totaal $ 1 miljoen van zijn slachtoffers af te persen.

De algemene tactieken, technieken en procedures (TTPS) van DarkSide vertonen grote overeenkomsten en overlappen in veel gevallen de methoden die worden gezien in aanvalscampagnes van andere APT's zoals Sodinokibi, DoppelPaymer, Maze en NetWalker. Wat DarkSide echter onderscheidt, is de zeer gerichte aanpak van de groep bij het selecteren van de slachtoffers, de creatie van aangepaste uitvoerbare ransomware-bestanden voor elke beoogde organisatie en de zakelijke kenmerken die ze hebben aangenomen.

Officieel persbericht voor meer legitimiteit

DarkSide kondigde de start van hun ransomware-operatie aan via een persbericht dat op hun Tor-website werd gepubliceerd. Hoewel dit niet de eerste keer is dat dreigingsactoren op persberichten vertrouwen als communicatiekanaal, komt het nog steeds zelden voor. Persberichten hebben echter enkele voordelen: ze stellen de cybercriminelen in staat om een beeld te projecteren van een professionele entiteit die kan worden vertrouwd om hun einde van onderhandelingen te handhaven en tegelijkertijd grotere media-aandacht te trekken, wat kan worden gebruikt als hefboom tegen elke doorbroken organisatie. De meeste ransomware-APT's zijn immers begonnen met het verzamelen van privégegevens voordat ze de bestanden op de geïnfecteerde machines vergrendelen. De geëxfiltreerde informatie wordt vervolgens bewapend en de betrokkenheid van de media kan nog grotere reputatieschade betekenen voor het getroffen bedrijf.

Hackers met morele code?

In hun persbericht schetsen de DarkSide-hackers verschillende aspecten van hun toekomstige operaties. Blijkbaar zullen de cybercriminelen zich onthouden van het lanceren van aanvallen op kritieke of kwetsbare sectoren zoals ziekenhuizen, scholen en zelfs overheidsinstanties. Bovendien verduidelijkt de APT-groep dat ze van plan zijn streefcijfers na te streven op basis van de financiële inkomsten van die entiteit, wat impliceert dat ze bedrijven zullen vermijden die al financieel worstelen. Hoewel dit enkele echt nobele bedoelingen zijn, althans voor een cybercriminele organisatie, valt nog te bezien of DarkSide erin zal slagen om door te gaan. Ziekenhuizen blijven tenslotte tot de meest waarschijnlijke doelwitten van ransomwareaanvallen.

Hulpprogramma's voor ransomware

De DarkSide-operators passen hun kwaadaardige toolkit aan zodat deze overeenkomt met het momenteel geselecteerde doel. Hoewel deze methode veel meer moeite kost dan simpelweg steeds hetzelfde uitvoerbare ransomware-bestand te implementeren, zorgt het voor een grotere kans op succes. De ransomware-dreiging verwijdert de Shadow Volume Copies op het gecompromitteerde systeem via een PowerShell-opdracht. Daarna zal de malware talloze databases, applicaties, e-mailclients en meer beëindigen als voorbereiding op het starten van de coderingsroutine. DarkSide vermijdt echter het knoeien met het volgende proces:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

De opname van TeamViewer in die lijst is nogal merkwaardig en kan erop wijzen dat de bedreigingsacteur afhankelijk is van de toepassing voor externe toegang tot de gecompromitteerde computers.

De weergegeven losgeldbrief wordt ook op maat gemaakt voor het momenteel gekozen doelwit. De opmerkingen bevatten meestal de exacte hoeveelheid gegevens die door de hackers zijn verzameld, het type en een link naar de externe server waar de gegevens zijn geüpload. De verkregen informatie wordt gebruikt als een krachtig afpersingsinstrument. Als de getroffen organisatie weigert te voldoen aan de eisen van DarkSide, kunnen de gegevens ofwel worden verkocht aan concurrenten of eenvoudigweg worden vrijgegeven aan het publiek, waardoor de reputatie van het slachtoffer ernstig wordt geschaad.