ਡਾਰਕਸਾਈਡ ਏ.ਪੀ.ਟੀ
The DarkSide APT ਇੱਕ ਸਾਈਬਰ ਅਪਰਾਧੀ ਧਮਕੀ ਅਦਾਕਾਰ ਹੈ ਜੋ ਰੈਨਸਮਵੇਅਰ-ਏ-ਕਾਰਪੋਰੇਸ਼ਨ (RaaC) ਰੁਝਾਨ ਤੋਂ ਬਾਅਦ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਸਮੂਹ ਖਾਸ ਤੌਰ 'ਤੇ ਚੁਣੇ ਹੋਏ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਰੈਨਸਮਵੇਅਰ ਹਮਲਿਆਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਵਿੱਚ ਮਾਹਰ ਹੈ। ਕੁਝ infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਅੰਦਾਜ਼ਾ ਲਗਾਇਆ ਹੈ ਕਿ ਡਾਰਕਸਾਈਡ ਨੇ ਆਪਣੇ ਪੀੜਤਾਂ ਤੋਂ ਕੁੱਲ $1 ਮਿਲੀਅਨ ਦੀ ਵਸੂਲੀ ਕੀਤੀ ਹੈ।
ਡਾਰਕਸਾਈਡ ਦੀਆਂ ਆਮ ਰਣਨੀਤੀਆਂ, ਤਕਨੀਕਾਂ, ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ (TTPS) ਬਹੁਤ ਸਮਾਨਤਾਵਾਂ ਦਿਖਾਉਂਦੀਆਂ ਹਨ ਅਤੇ, ਬਹੁਤ ਸਾਰੇ ਮਾਮਲਿਆਂ ਵਿੱਚ, Sodinokibi , DoppelPaymer, Maze ਅਤੇ NetWalker ਵਰਗੀਆਂ ਹੋਰ APTs ਤੋਂ ਹਮਲੇ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਦੇਖੇ ਗਏ ਤਰੀਕਿਆਂ ਨਾਲ ਓਵਰਲੈਪ ਕਰਦੀਆਂ ਹਨ । ਜੋ ਡਾਰਕਸਾਈਡ ਨੂੰ ਅਲੱਗ ਕਰਦਾ ਹੈ, ਹਾਲਾਂਕਿ, ਇਸਦੇ ਪੀੜਤਾਂ ਦੀ ਚੋਣ ਕਰਦੇ ਸਮੇਂ ਸਮੂਹ ਦੀ ਉੱਚ ਨਿਸ਼ਾਨਾ ਪਹੁੰਚ, ਹਰੇਕ ਨਿਸ਼ਾਨਾ ਸੰਸਥਾ ਲਈ ਕਸਟਮ ਰੈਨਸਮਵੇਅਰ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੀ ਸਿਰਜਣਾ, ਅਤੇ ਉਹਨਾਂ ਦੁਆਰਾ ਅਪਣਾਏ ਗਏ ਕਾਰਪੋਰੇਟ ਵਰਗੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਹਨ।
ਸ਼ਾਮਲ ਕੀਤੀ ਜਾਇਜ਼ਤਾ ਲਈ ਅਧਿਕਾਰਤ ਪ੍ਰੈਸ ਰਿਲੀਜ਼
ਡਾਰਕਸਾਈਡ ਨੇ ਆਪਣੀ ਟੋਰ ਵੈਬਸਾਈਟ 'ਤੇ ਪ੍ਰਕਾਸ਼ਤ ਇੱਕ ਪ੍ਰੈਸ ਰਿਲੀਜ਼ ਦੁਆਰਾ ਆਪਣੇ ਰੈਨਸਮਵੇਅਰ ਕਾਰਜ ਦੀ ਸ਼ੁਰੂਆਤ ਦੀ ਘੋਸ਼ਣਾ ਕੀਤੀ। ਹਾਲਾਂਕਿ ਇਹ ਪਹਿਲੀ ਵਾਰ ਨਹੀਂ ਹੈ ਜਦੋਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਇੱਕ ਸੰਚਾਰ ਚੈਨਲ ਵਜੋਂ ਪ੍ਰੈਸ ਰਿਲੀਜ਼ਾਂ 'ਤੇ ਭਰੋਸਾ ਕੀਤਾ ਹੈ, ਇਹ ਅਜੇ ਵੀ ਇੱਕ ਦੁਰਲੱਭ ਘਟਨਾ ਹੈ। ਹਾਲਾਂਕਿ, ਪ੍ਰੈਸ ਰਿਲੀਜ਼ਾਂ ਦੇ ਕੁਝ ਫਾਇਦੇ ਹੁੰਦੇ ਹਨ - ਉਹ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਇੱਕ ਪੇਸ਼ੇਵਰ ਹਸਤੀ ਦੀ ਇੱਕ ਤਸਵੀਰ ਪੇਸ਼ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ ਜਿਸ 'ਤੇ ਵਿਸ਼ਵਾਸ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਕਿ ਕਿਸੇ ਵੀ ਗੱਲਬਾਤ ਦੇ ਅੰਤ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਣ ਲਈ ਇੱਕੋ ਸਮੇਂ ਵੱਡੇ ਮੀਡੀਆ ਦਾ ਧਿਆਨ ਆਕਰਸ਼ਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸਦੀ ਵਰਤੋਂ ਕਿਸੇ ਵੀ ਉਲੰਘਣਾ ਕੀਤੀ ਸੰਸਥਾ ਦੇ ਵਿਰੁੱਧ ਲਾਭ ਵਜੋਂ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਆਖ਼ਰਕਾਰ, ਜ਼ਿਆਦਾਤਰ ransomware APTs ਨੇ ਲਾਗ ਵਾਲੀਆਂ ਮਸ਼ੀਨਾਂ 'ਤੇ ਫਾਈਲਾਂ ਨੂੰ ਲਾਕ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਨਿੱਜੀ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ ਹੈ। ਬਾਹਰ ਕੱਢੀ ਗਈ ਜਾਣਕਾਰੀ ਨੂੰ ਫਿਰ ਹਥਿਆਰ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਮੀਡੀਆ ਦੀ ਸ਼ਮੂਲੀਅਤ ਦਾ ਮਤਲਬ ਪ੍ਰਭਾਵਿਤ ਕੰਪਨੀ ਲਈ ਹੋਰ ਵੀ ਵੱਡਾ ਸਾਖ ਨੂੰ ਨੁਕਸਾਨ ਹੋ ਸਕਦਾ ਹੈ।
ਨੈਤਿਕ ਕੋਡ ਨਾਲ ਹੈਕਰ?
ਆਪਣੀ ਪ੍ਰੈਸ ਰਿਲੀਜ਼ ਵਿੱਚ, ਡਾਰਕਸਾਈਡ ਹੈਕਰ ਆਪਣੇ ਭਵਿੱਖ ਦੇ ਕਾਰਜਾਂ ਦੇ ਕਈ ਪਹਿਲੂਆਂ ਦੀ ਰੂਪਰੇਖਾ ਦਿੰਦੇ ਹਨ। ਜ਼ਾਹਰ ਤੌਰ 'ਤੇ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਨਾਜ਼ੁਕ ਜਾਂ ਕਮਜ਼ੋਰ ਖੇਤਰਾਂ ਜਿਵੇਂ ਕਿ ਹਸਪਤਾਲਾਂ, ਸਕੂਲਾਂ ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਦੇ ਵਿਰੁੱਧ ਕੋਈ ਵੀ ਹਮਲਾ ਕਰਨ ਤੋਂ ਪਰਹੇਜ਼ ਕਰਨਗੇ। ਇਸਦੇ ਸਿਖਰ 'ਤੇ, APT ਸਮੂਹ ਸਪੱਸ਼ਟ ਕਰਦਾ ਹੈ ਕਿ ਉਹ ਉਸ ਇਕਾਈ ਦੇ ਵਿੱਤੀ ਮਾਲੀਏ ਦੇ ਅਧਾਰ 'ਤੇ ਟੀਚਿਆਂ ਦਾ ਪਿੱਛਾ ਕਰਨ ਦਾ ਇਰਾਦਾ ਰੱਖਦੇ ਹਨ, ਜਿਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਉਹ ਉਹਨਾਂ ਕੰਪਨੀਆਂ ਤੋਂ ਬਚਣਗੇ ਜੋ ਪਹਿਲਾਂ ਹੀ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਸੰਘਰਸ਼ ਕਰ ਰਹੀਆਂ ਹਨ। ਹਾਲਾਂਕਿ ਇਹ ਕੁਝ ਸੱਚਮੁੱਚ ਨੇਕ ਇਰਾਦੇ ਹਨ, ਘੱਟੋ ਘੱਟ ਇੱਕ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸੰਗਠਨ ਲਈ, ਇਹ ਵੇਖਣਾ ਬਾਕੀ ਹੈ ਕਿ ਕੀ ਡਾਰਕਸਾਈਡ ਇਸ ਦੀ ਪਾਲਣਾ ਕਰਨ ਦਾ ਪ੍ਰਬੰਧ ਕਰੇਗਾ. ਆਖਰਕਾਰ, ਹਸਪਤਾਲ ਰੈਨਸਮਵੇਅਰ ਹਮਲਿਆਂ ਦੇ ਸਭ ਤੋਂ ਵੱਧ ਸੰਭਾਵਿਤ ਟੀਚਿਆਂ ਵਿੱਚ ਰਹਿੰਦੇ ਹਨ।
ਰੈਨਸਮਵੇਅਰ ਟੂਲਜ਼
ਡਾਰਕਸਾਈਡ ਓਪਰੇਟਰ ਮੌਜੂਦਾ ਚੁਣੇ ਹੋਏ ਟੀਚੇ ਨਾਲ ਮੇਲ ਕਰਨ ਲਈ ਆਪਣੀ ਖਤਰਨਾਕ ਟੂਲਕਿੱਟ ਨੂੰ ਸੰਸ਼ੋਧਿਤ ਕਰਦੇ ਹਨ। ਹਾਲਾਂਕਿ ਇਸ ਵਿਧੀ ਨੂੰ ਹਰ ਸਮੇਂ ਇਕੋ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਚਲਾਉਣ ਯੋਗ ਤੈਨਾਤ ਕਰਨ ਨਾਲੋਂ ਬਹੁਤ ਜ਼ਿਆਦਾ ਮਿਹਨਤ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਇਹ ਸਫਲਤਾ ਦੀ ਉੱਚ ਸੰਭਾਵਨਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ। ਰੈਨਸਮਵੇਅਰ ਦੀ ਧਮਕੀ PowerShell ਕਮਾਂਡ ਰਾਹੀਂ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਸ਼ੈਡੋ ਵਾਲੀਅਮ ਕਾਪੀਆਂ ਨੂੰ ਮਿਟਾ ਦਿੰਦੀ ਹੈ। ਬਾਅਦ ਵਿੱਚ, ਮਾਲਵੇਅਰ ਆਪਣੇ ਐਨਕ੍ਰਿਪਸ਼ਨ ਰੁਟੀਨ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਦੀ ਤਿਆਰੀ ਵਜੋਂ ਬਹੁਤ ਸਾਰੇ ਡੇਟਾਬੇਸ, ਐਪਲੀਕੇਸ਼ਨਾਂ, ਮੇਲ ਕਲਾਇੰਟਸ, ਅਤੇ ਹੋਰ ਨੂੰ ਖਤਮ ਕਰ ਦੇਵੇਗਾ। ਡਾਰਕਸਾਈਡ, ਹਾਲਾਂਕਿ, ਹੇਠ ਲਿਖੀ ਪ੍ਰਕਿਰਿਆ ਨਾਲ ਛੇੜਛਾੜ ਤੋਂ ਬਚਦਾ ਹੈ:
- Vmcompute.exe
- Vmms.exe
- Vmwp.exe
- Svchost.exe
- TeamViewer.exe
- Explorer.exe
ਉਸ ਸੂਚੀ ਵਿੱਚ TeamViewer ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ ਕਾਫ਼ੀ ਉਤਸੁਕ ਹੈ ਅਤੇ ਇਹ ਸੁਝਾਅ ਦੇ ਸਕਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਸਮਝੌਤਾ ਕੀਤੇ ਕੰਪਿਊਟਰਾਂ ਤੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਲਈ ਐਪਲੀਕੇਸ਼ਨ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ।
ਪ੍ਰਦਰਸ਼ਿਤ ਰਿਹਾਈ ਦਾ ਨੋਟ ਵੀ ਮੌਜੂਦਾ ਚੁਣੇ ਗਏ ਟੀਚੇ ਲਈ ਤਿਆਰ ਕੀਤਾ ਜਾਵੇਗਾ। ਨੋਟਸ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਹੈਕਰਾਂ ਦੁਆਰਾ ਇਕੱਤਰ ਕੀਤੇ ਗਏ ਡੇਟਾ ਦੀ ਸਹੀ ਮਾਤਰਾ, ਇਸਦੀ ਕਿਸਮ ਅਤੇ ਰਿਮੋਟ ਸਰਵਰ ਦਾ ਲਿੰਕ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜਿੱਥੇ ਡੇਟਾ ਅਪਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ। ਹਾਸਲ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਜ਼ਬਰਦਸਤੀ ਲੁੱਟਣ ਦੇ ਸਾਧਨ ਵਜੋਂ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਉਲੰਘਣਾ ਕੀਤੀ ਗਈ ਸੰਸਥਾ ਡਾਰਕਸਾਈਡ ਦੀਆਂ ਮੰਗਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਤੋਂ ਇਨਕਾਰ ਕਰਦੀ ਹੈ, ਤਾਂ ਡੇਟਾ ਜਾਂ ਤਾਂ ਮੁਕਾਬਲੇਬਾਜ਼ਾਂ ਨੂੰ ਵੇਚਿਆ ਜਾ ਸਕਦਾ ਹੈ ਜਾਂ ਸਿਰਫ਼ ਜਨਤਾ ਨੂੰ ਜਾਰੀ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਅਤੇ ਪੀੜਤ ਦੀ ਸਾਖ ਨੂੰ ਬੁਰੀ ਤਰ੍ਹਾਂ ਨੁਕਸਾਨ ਪਹੁੰਚਾ ਸਕਦਾ ਹੈ।
