DarkSide APT

DarkSide APT to zagrożenie cyberprzestępcze wzorowane na trendzie Ransomware-as-a-Corporation (RaaC). Grupa specjalizuje się w przeprowadzaniu ataków ransomware na określone cele. Niektórzy badacze infosec oszacowali, że DarkSide zdołał wyłudzić od swoich ofiar łącznie 1 milion dolarów.

Ogólna taktyka, techniki i procedury (TTPS) DarkSide wykazują duże podobieństwa iw wielu przypadkach pokrywają się z metodami obserwowanymi w kampaniach ataków z innych APT, takich jak Sodinokibi, DoppelPaymer, Maze i NetWalker. Jednak to, co wyróżnia DarkSide, to wysoce ukierunkowane podejście grupy przy wyborze ofiar, tworzenie niestandardowych plików wykonywalnych ransomware dla każdej docelowej organizacji oraz cechy korporacyjne, które przyjęli.

Oficjalny komunikat prasowy dotyczący dodatkowej legalności

DarkSide ogłosił rozpoczęcie operacji ransomware w komunikacie prasowym opublikowanym na swojej stronie Tor. Chociaż nie jest to pierwszy przypadek, gdy podmioty zagrażające wykorzystały komunikaty prasowe jako kanał komunikacji, nadal jest to rzadkie zjawisko. Komunikaty prasowe mają jednak pewne zalety - pozwalają cyberprzestępcom stworzyć wizerunek profesjonalnego podmiotu, któremu można zaufać, że dotrzyma końca wszelkich negocjacji, jednocześnie przyciągając większą uwagę mediów, co może być wykorzystane jako dźwignia przeciwko dowolnej naruszonej organizacji. W końcu większość APT-ów ransomware zaczęła zbierać prywatne dane przed zablokowaniem plików na zainfekowanych maszynach. Eksfiltrowane informacje są następnie zbrojone, a zaangażowanie mediów może oznaczać jeszcze większe szkody dla reputacji firmy, której dotyczy problem.

Hakerzy z kodeksem moralnym?

W swoim komunikacie prasowym hakerzy DarkSide przedstawiają kilka aspektów ich przyszłych operacji. Najwyraźniej cyberprzestępcy powstrzymają się od ataków na krytyczne lub wrażliwe sektory, takie jak szpitale, szkoły, a nawet instytucje rządowe. Ponadto grupa APT wyjaśnia, że zamierza realizować cele oparte na przychodach finansowych tego podmiotu, co oznacza, że będzie unikać firm, które już mają problemy finansowe. Chociaż są to naprawdę szlachetne zamiary, przynajmniej dla organizacji cyberprzestępczej, okaże się, czy DarkSide zdoła je zrealizować. W końcu szpitale pozostają jednymi z najbardziej prawdopodobnych celów ataków ransomware.

Narzędzia ransomware

Operatorzy DarkSide modyfikują swój złośliwy zestaw narzędzi, aby pasował do aktualnie wybranego celu. Chociaż ta metoda wymaga dużo więcej wysiłku niż zwykłe wdrażanie tego samego pliku wykonywalnego ransomware przez cały czas, zapewnia większą szansę na sukces. Zagrożenie ransomware usuwa kopie woluminów w tle w zaatakowanym systemie za pomocą polecenia PowerShell. Następnie złośliwe oprogramowanie zamknie wiele baz danych, aplikacji, klientów pocztowych i nie tylko, aby przygotować się do zainicjowania procedury szyfrowania. DarkSide unika jednak manipulacji przy następującym procesie:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

Umieszczenie TeamViewer na tej liście jest dość ciekawe i może sugerować, że osoba atakująca zagrożenie polega na aplikacji w celu zdalnego dostępu do zaatakowanych komputerów.

Wyświetlana notatka okupu będzie również dostosowana do aktualnie wybranego celu. Notatki zwykle zawierają dokładną ilość danych zebranych przez hakerów, ich typ i łącze do zdalnego serwera, na który dane zostały przesłane. Uzyskane informacje są wykorzystywane jako potężne narzędzie wymuszenia. Jeśli naruszona organizacja odmówi spełnienia żądań DarkSide, dane mogą zostać sprzedane konkurentom lub po prostu udostępnione publicznie i poważnie zaszkodzić reputacji ofiary.