Threat Database Ransomware DarkSide Ransomware

DarkSide Ransomware

Bedreigingsscorekaart

Dreigingsniveau: 100 % (Hoog)
Geïnfecteerde computers: 1
Eerst gezien: January 23, 2014
Laatst gezien: May 16, 2021
Beïnvloede besturingssystemen: Windows

DarkSide Ransomware is een type malware dat is gemaakt met het doel geld van computergebruikers af te persen door hun pc te gijzelen. De taak van DarkSide Ransomware om zijn geldafpersingsplan te volbrengen, begint met het versleutelen van bestanden, wat plaatsvindt na het laden op een systeem, vaak doordat de gebruiker een kwaadaardige spam-e-mailbijlage opent.

Het is bekend dat de DarkSide Ransomware veel bestanden versleutelt en daaraan vergelijkbare bestandsextensies toevoegt. Hoewel elk bestand dat door DarkSide Ransomware is gecodeerd, gemakkelijk kan worden geïdentificeerd en gevonden, kunnen ze niet worden geopend of geopend vanwege onverslaanbare codering. Als gevolg hiervan zal een computergebruiker die zijn systeem weer normaal wil laten werken, een keuze moeten maken tussen het betalen van het losgeld of het zoeken naar een ander proces om het probleem op te lossen.

DarkSide bleek een dader te zijn bij de aanval waarbij de Colonial Pipeline werd stilgelegd, die wordt beschouwd als de grootste Amerikaanse brandstofpijpleiding die verantwoordelijk is voor het vervoer van bijna de helft van de brandstof die wordt verbruikt door de oostkust van de Verenigde Staten. Ambtenaren onderzoeken momenteel de aanval waarbij het lijkt alsof het een ransomware- dreiging is die systemen aanvalt die de pijpleiding beheersen, wat een negatieve invloed kan hebben op de brandstofprijzen en een enorme economische impact kan hebben op het gebied.

Wat wil DarkSide?

Sinds de DarkSide Ransomware-campagne de Colonial Pipeline heeft afgesloten, is het logisch om te vermoeden dat er politieke doelen achter de aanval kunnen zitten. De reikwijdte van cyberoorlogvoering is de laatste jaren immers alleen maar groter geworden, en het zou niet verwonderlijk zijn als dit een door het land gefinancierde aanval was. Sommige onderzoekers suggereren ook dat een Oost-Europese hackergroep achter DarkSide Ransomware zou kunnen zitten, omdat deze infectie een systeem niet versleutelt als de taal is ingesteld op Russisch, Oekraïens en Armeens. Desalniettemin beweerden de ontwikkelaars van DarkSide via hun website dat het verstoren van het brandstofsysteem nooit een van hun doelen was, en dat hun enige doel financieel gewin was.

Er moet ook op worden gewezen dat DarkSide niet elke afzonderlijke aanval rechtstreeks beheert. De hackers hebben veel filialen die DarkSide Ransomware gebruiken, en die filialen kunnen hun eigen doelen kiezen. Het lijkt erop dat de Colonial Pipeline toevallig als doelwit werd gekozen door een van die filialen. Daarom beweert DarkSide dat ze in de toekomst zullen proberen sociale gevolgen te vermijden door een duidelijke doelbeoordeling in te voeren. Niet dat het veelbelovender klinkt, want het betekent alleen dat de hackers andere systemen zullen blijven infecteren.

Wat is er precies gebeurd met koloniaal?

De meest voorkomende distributiemethode voor ransomware zijn e-mailbijlagen met spam. Met DarkSide Ransomware lijkt het erop dat de aanvalsvector iets anders was. De infectie moet gebruik hebben gemaakt van de COVID-19 pandemische situatie, waar tonnen kantoormedewerkers nu vanuit huis werken. Hetzelfde geldt ook voor de medewerkers van Colonial Pipeline.

Wanneer iemand vanuit huis werkt, worden ze met veel meer beveiligingsrisico's geconfronteerd, omdat hun thuisnetwerk zelden zo veilig is als het netwerk op kantoor. DarkSide Ransomware gebruikt remote desktop protocol-applicaties (zoals TeamViewer of Microsoft Remote Desktop) om toegang te krijgen tot de systemen van Colonial. Ze dwongen in feite de inloggegevens van de account die toebehoorden aan de medewerkers van de Colonial en drongen het gevoelige innerlijke systeem binnen. Dit zou ook betekenen dat werknemers geen sterke wachtwoorden gebruiken om hun accounts te beschermen, maar dat is nog een ander probleem.

Hoe dan ook, zodra DarkSide de zwakke schakel heeft gevonden die kan worden gebruikt om toegang te krijgen tot het systeem, betreden ze de gecompromitteerde Virtual Desktop Infrastructure (VDI). Vervolgens zorgen ze ervoor dat de verbinding niet wordt onderbroken door een ander Remote Desktop Protocol in te zetten via een uitgebuite server. Als de oorspronkelijke kwetsbaarheid die werd gebruikt om toegang te krijgen tot het doelsysteem, wordt gepatcht, behoudt DarkSide nog steeds de systeemtoegang.


DarkSide Command and Control. Bron: Varonis.com

Zodra de hackers zich in het systeem bevinden, infecteren ze het met DarkSide Ransomware. Er zijn drie hoofdfasen van de infectie. De eerste is zelfinjectie, waarbij de malware een kopie van zichzelf in de map% AppData% plaatst en een CMD-opdracht gebruikt om de code in een bestaand proces te injecteren. Tijdens deze stap kan DarkSide stoppen met werken als de programmering detecteert dat het wordt uitgevoerd op een virtuele machine.

Als de malware geen belemmeringen voor zijn processen vindt, voert het een heimelijke PowerShell-opdracht uit die alle back-up- en schaduwkopieën van de beoogde gegevens op de getroffen machine verwijdert. Dat is een gangbare praktijk bij de meeste ransomware-infecties.

Ten slotte omvat de derde stap het belangrijkste pièce de résistance, namelijk bestandsversleuteling. Voordat alles begint, sluit DarkSide Ransomware een lijst met processen die het coderingsproces kunnen belemmeren. Alle betrokken bestanden krijgen een tekenreeks van 8 tekens aan het einde van hun naam, wat aangeeft dat ze zijn versleuteld door DarkSide Ransomware.

Hetzelfde gebeurde met het systeem van Colonial, waar DarkSide met succes bijna 100 GB aan gegevens stal en het gegijzeld had. Ze dreigden het op internet te lekken door het volgende losgeldbriefje te tonen:

Je netwerk is vergrendeld!

U moet nu $ 2.000.000 betalen, of $ 4.000.000 na verdubbeling.

Na betaling zullen we u een universele decryptor voor alle netwerken leveren.

Het bedrag van $ 2.000.000 of meer dat door de hackergroep wordt geëist, zoals weergegeven in de afbeelding van het eigenlijke losgeldbriefje (hieronder) dat verschijnt op de pijplijn die computers bestuurt, is schandalig.

darkside ransomware-afbeelding
DarkSide Ransomware losgeldnota afbeelding

De bovenstaande losgeldbrief verschijnt op het scherm van het slachtoffer. Er is echter nog een losgeldbrief die op het doelsysteem wordt gedropt in een bestand in TXT-formaat. Het heeft meestal de zin "LEES ME" in de bestandsnaam. Die notitie bevat instructies over hoe u contact kunt opnemen met het DarkSide-team, en dit is wat het te zeggen heeft:

------------ [Welkom bij DarkSide] ------------>

Wat gebeurde er?

-------------------------------------------------

Uw computers en servers zijn versleuteld, privégegevens zijn gedownload. We gebruiken sterke versleutelingsalgoritmen, zodat u uw gegevens niet kunt ontsleutelen.

Maar u kunt alles herstellen door een speciaal programma bij ons te kopen - universele decryptor. Dit programma zal je hele netwerk herstellen.

Volg onze onderstaande instructies en u zult al uw gegevens herstellen.

Datalek

-------------------------------------------------

Allereerst hebben we meer geüpload dan _    gegevens.

Uw persoonlijke lekpagina (TOR LINK): http: // darkside. ui/

Op de pagina vind je voorbeelden van bestanden die zijn gedownload.

De gegevens zijn vooraf geladen en worden automatisch in onze blog gepubliceerd als u niet betaalt.

Na publicatie kunnen uw gegevens door iedereen worden gedownload, worden ze opgeslagen op onze tor CDN en blijven ze minimaal 6 maanden beschikbaar.

We zijn klaar:

- Om u te voorzien van het bewijs van gestolen gegevens

- Om alle gestolen gegevens te verwijderen.

Welke garanties?

-----------------------------------------------

We waarderen onze reputatie. Als we ons werk en onze verplichtingen niet doen, zal niemand ons betalen. Dit is niet in ons belang.

Al onze decoderingssoftware is perfect getest en zal uw gegevens decoderen. Ook bij problemen bieden we ondersteuning.

We garanderen dat we één bestand gratis ontsleutelen. Ga naar de site en neem contact met ons op.

HOE KUNT U ONS CONTACTEREN?

-----------------------------------------------

Gebruik een TOR-browser:

1) Download en installeer de TOR-browser vanaf deze site: https://torproject.org/

2) Open onze website: http: // darkside. ui/

Onnodig te zeggen dat het losgeld in BTC zou moeten worden betaald, maar in plaats van te klauteren om de gestolen gegevens te betalen, richtte Colonial zich tot de FBI en andere overheids- en particuliere instanties om hen te helpen de schade te beperken. De cloudcomputersystemen die de gecodeerde informatie bevatten, werden offline gehaald om de dreiging in te dammen, en dat was in wezen de oorzaak van de verstoring van de brandstoftoevoer aan de oostkust.

Nu het verhaal zich nog steeds ontwikkelt, zijn er geen daadwerkelijke losgeldbetalingen aangekondigd en kunnen we alleen maar raden hoeveel Colonial zal betalen voor de gecodeerde gegevens of dat het überhaupt iets zou betalen. Eerdere aanvallen suggereren dat DarkSide geen empathie toont voor bedrijven die miljarden dollars aan jaarlijkse inkomsten verdienen. Het is echter mogelijk om met hen te onderhandelen en de onderhandeling kan snel en effectief zijn omdat DarkSide instant chat gebruikt om met hun slachtoffers te communiceren.

In januari 2021 werd een ander Amerikaans bedrijf getroffen door de DarkSide Ransomware-aanval. De cybercriminelen eisten $ 30 miljoen aan losgeld, maar het bedrijf slaagde erin om in plaats daarvan een betaling van $ 11 miljoen te bedingen, waardoor de prijs met bijna tweederde werd verlaagd.

Aan de andere kant, afgezien van de gecodeerde gegevens en de dubbele afpersingstactieken, waarbij de slachtoffers onder druk worden gezet om te betalen, kan DarkSide zich ook bezighouden met chantage. Samen met het versleutelen van de gevoelige gegevens, kan de groep deze ook stelen en dreigen deze te lekken als de getroffen bedrijven weigeren te betalen voor de vrijgave van gegevens.

Bovendien kan DarkSide ook inloggegevens van verschillende organisaties verzamelen. In plaats van die organisaties op de hoogte te brengen van hun beveiligingslekken, verkopen ze de verzamelde informatie aan de hoogste bieders, waardoor ze andere aanvallen kunnen uitvoeren.

Veelvoorkomende ransomwaretrends

Deze ransomware-aanval is een duidelijk voorbeeld van de nieuwste ransomwaretrends waarbij dergelijke aanvallen op nationaal niveau veel schade kunnen aanrichten. Ransomware-aanvallen waren altijd gericht op bedrijven in tegenstelling tot individuele gebruikers, maar het is nu gemakkelijk in te zien dat vitale industriële infrastructuur er ook door kan worden beïnvloed. Zelfs als DarkSide Ransomware niet zo berucht wordt als WannaCry , levert het extra puzzels op voor cybersecurity-specialisten over de hele wereld.

DarkSide Ransomware vertoont momenteel ook het meest prominente bedrijfsmodel van ransomware, waarbij de belangrijkste ontwikkelaars (in dit geval DarkSide) de malware maken en deze vervolgens verkopen of verhuren aan zijn "gelieerde ondernemingen". Tot nu toe hebben beveiligingsonderzoekers ten minste vijf gelieerde ondernemingen geïdentificeerd die zijn geassocieerd met de DarkSide-ransomware-aanvallen.

Om een "affiliate" van DarkSide te worden, moet de potentiële partner eerst slagen voor een interview. Sommige groepen die geslaagd zijn voor het interview en met DarkSide werken, worden aangeduid met toegewezen codenamen. Onderzoekers van FireEye noemen sommige van die groepen als UNC2628, UNC2659 en UNC2465.

UNC2465 is actief sinds april 2019. Deze groep maakt gebruik van phishing-e-mails om DarkSide te bezorgen aan zijn potentiële slachtoffers. De groep gebruikt ook de achterdeur van Smokedham om toegang te krijgen tot het doelsysteem. UNC2659 en UN2628 zijn relatief nieuwe groepen die actief zijn sinds begin 2021. UNC2628 neigt ertoe om binnen twee of drie dagen na de infiltratie door te gaan met de codering, en er wordt ook aangenomen dat deze groep ook met REvil werkte. UNC2628 duurt gemiddeld ongeveer tien dagen na de infectie voordat het verder gaat met de bestandscodering, en het handhaaft persistentie op de getroffen computer door gebruik te maken van de TeamViewer-software.

Zonder rekening te houden met verschillende infiltratie- en versleutelingspatronen, ontvangt het belangrijkste hackerteam een percentage van de inkomsten van de aangesloten bedrijven wanneer de partners vooraf bepaalde doelen infecteren. Op basis van verschillende rapporten krijgt Dark Side een korting van 25% op de geïnde losgeldbetalingen als de aangesloten maatschappijen minder dan $ 500.000 aan losgeld ontvangen. Als de partners meer dan $ 5 ml verzamelen, wordt de korting verlaagd tot 10% van de inkomsten. Dit bedrijfsmodel wordt ransomware-as-a-service genoemd.

Om zichzelf aantrekkelijker te maken voor potentiële klanten, voert DarkSide een concurrerende marketingcampagne op haar website uit. Zelfs toen de ransomware voor het eerst werd uitgebracht in augustus 2020, werd het nieuwe product ook aangekondigd via een 'persbericht', dus de groep wil zichzelf graag promoten.

Het team zegt dat, hoewel ze een nieuw product presenteren, ze geenszins nieuwkomers zijn op het gebied van ransomware. Ze laten ook zien dat ze integriteit hebben omdat ze zeggen dat ze de gezondheidszorg, de uitvaartdienst, het onderwijs, de non-profit en overheidsinstellingen niet aanvallen. Nogmaals, dit ondersteunt de eerder genoemde bewering dat DarkSide niet van plan was om sociale verstoringen te veroorzaken met zijn aanval op Colonial.

Ook potentiële slachtoffers worden in hun advertentie niet vergeten. DarkSide zegt dat de slachtoffers er zeker van kunnen zijn dat ze een eenmalige bestandsontsleuteling krijgen en dat een decoderingssleutel voor alle bestanden wordt uitgegeven zodra het losgeld is overgemaakt. Ze beloven ook om de geüploade bestanden van hun servers te verwijderen.


De DarkSide Ransomware-advertentie. Bron: KrebsOnSecurity.com

Hoewel beveiligingsexperts hier niet 100% zeker van kunnen zijn, wordt aangenomen dat sommige leden van het DarkSide-team achter een andere ransomware-infectie zaten, genaamd REvil. Op zijn beurt wordt aangenomen dat REvil een andere naam is voor GandCrab, alweer een andere ransomware-as-a-service die meer dan $ 2 miljard van zijn slachtoffers heeft afgeperst voordat hij zijn winkel in 2019 sloot.

Dergelijke uitgebreide bedreigingen vereisen veelzijdige oplossingen. Het gebruik van krachtige antimalwareprogramma's is slechts een springplank in deze strijd tegen gevaarlijke hackergroepen. Het is ook belangrijk om uw werknemers voor te lichten over de mogelijke beveiligingsbedreigingen en essentiële cyberbeveiligingspraktijken. Als een werknemer gevoelige informatie beheert, moeten ze sterke wachtwoorden en veilige netwerkconfiguraties gebruiken wanneer ze toegang krijgen tot de systemen van de organisatie. Anders zou het voor zoiets als DarkSide Ransomware te gemakkelijk zijn om nog een aanval uit te voeren.

Het ligt voor de hand dat ransomware nergens heen gaat, en dergelijke aanvallen worden een urgent probleem, niet alleen voor bedrijven, maar ook voor de nationale veiligheid. De gemiddelde ransomwarebetalingen stegen met 31% van het tweede naar het derde kwartaal van 2020. En in 2020 werden alleen al in de VS meer dan 2.400 overheidsinstanties, zorginstellingen en scholen getroffen door ransomwareaanvallen.

In het geval van DarkSide zeggen ze dat de bovengenoemde instellingen niet hun belangrijkste doelwitten zijn, maar de aanvallen worden moeilijk te vermijden, en deze urgente situatie wordt ook erkend door de Cybersecurity and Infrastructure Security Agency (CISA). Op 11 mei 2021 bracht het bureau een reeks aanbevelingen uit om " zakelijke distributie tegen ransomware-aanvallen te voorkomen ". De lijst met aanbevelingen omvat (maar is niet beperkt tot):

  • Gebruikmakend van multi-factor authenticatie
  • Spamfilters gebruiken om phishingaanvallen te voorkomen
  • Stimuleren van training van gebruikers / medewerkers om cyberaanvallen te helpen voorkomen
  • Netwerkverkeer filteren
  • Regelmatige software-updates
  • Regelmatige gegevensback-ups

Verschillende nieuwsuitzendingen hebben gemeld dat Colonial bijna $ 5 miljoen aan losgeld heeft betaald. Het bedrijf werd afgelopen vrijdag 7 mei getroffen door DarkSide Ransomware en het zou naar verluidt het losgeld in cryptocurrency slechts een paar uur na de aanval hebben betaald. Het is duidelijk dat het bedrijf het losgeld heeft betaald om gestolen gegevens te herstellen, maar een dergelijke snelle betaling roept ook zorgen op over toekomstige ransomwareaanvallen. Het moedigt criminelen aan om zich te blijven richten op spraakmakende bedrijven en andere bedrijven die veel geld hebben en die eerder het losgeld zullen betalen.

Ondanks het feit dat DarkSide de decoderingstool leverde om de gecodeerde gegevens te herstellen, moest Colonial nog steeds hun eigen back-ups gebruiken om hun netwerk te herstellen, omdat de genoemde tool naar verluidt te traag was. Het is zeer waarschijnlijk dat de decoderingstool zijn beperkingen heeft wanneer hij honderden gigabytes aan gegevens moet decoderen.

DarkSide Ransomware schermafbeeldingen

DarkSide Ransomware
darkside ransomware image
colonial pipeline darkside ransomware attack

Gerelateerde berichten

Trending

Meest bekeken

Bezig met laden...