DarkSide APT

Descrição do DarkSide APT

O DarkSide APT é um grupo de ciber-criminosos e um autor de ameaças, modelado de acordo com a tendência do Ransomware-como-uma-Corporaçao (RaaC). O grupo é especializado na implantação de ataques de ransomware contra alvos especificamente escolhidos. Alguns pesquisadores de infosec estimam que o DarkSide conseguiu extorquir um total de US $1 milhão de suas vítimas.

As táticas, técnicas e procedimentos gerais (TTPS) do DarkSide mostram grandes semelhanças e, em muitos casos, se sobrepõem aos métodos vistos em campanhas de ataque de outros APTs, como Sodinokibi, DoppelPaymer, Maze e NetWalker. O que diferencia o DarkSide, no entanto, é a abordagem altamente direcionada do grupo ao selecionar suas vítimas, a criação de executáveis de ransomware personalizados para cada organização-alvo e as características corporativas que eles adotaram.

Um Comunicado na Imprensa Oficial para Maior Legitimidade

O DarkSide anunciou o início de sua operação de ransomware por meio de um comunicado à imprensa, publicado no seu site Tor. Embora esta não seja a primeira vez que os agentes de ameaças contam com comunicados à imprensa como um canal de comunicação, ainda é uma ocorrência rara. No entanto, os comunicados à imprensa têm algumas vantagens - eles permitem que os cibercriminosos projetem uma imagem de uma entidade profissional que pode ser confiável para defender seu fim de qualquer negociação enquanto atrai maior atenção da mídia simultaneamente, o que pode ser usado como alavanca contra qualquer organização violada. Afinal, a maioria dos APTs de ransomware começou a coletar dados privados antes de bloquear os arquivos nas máquinas infectadas. A informação exfiltrada é então transformada em arma e o envolvimento da mídia pode significar danos ainda maiores à reputação da empresa afetada.

Hackers com Código Moral?

Em seu comunicado à imprensa, os hackers do DarkSide destacam vários aspectos de suas operações futuras. Aparentemente, os cibercriminosos se absterão de lançar qualquer ataque contra setores críticos ou vulneráveis, como hospitais, escolas e até entidades governamentais. Além disso, o grupo APT esclarece que pretende ir atrás de metas com base na receita financeira daquela entidade, o que implica que vai evitar empresas que já estão com dificuldades financeiras. Embora essas sejam algumas intenções verdadeiramente nobres, pelo menos para uma organização cibercriminosa, resta saber se o DarkSide conseguirá seguir adiante. Afinal, os hospitais continuam entre os alvos mais prováveis de ataques de ransomware.

Ferramentas de Ransomware

Os operadores do DarkSide modificam o seu kit de ferramentas malicioso para corresponder ao alvo atualmente selecionado. Embora esse método exija muito mais esforço do que simplesmente implantar o mesmo executável de ransomware o tempo todo, ele garante uma chance maior de sucesso. A ameaça de ransomware exclui as Cópias do Shadow Volume no sistema comprometido por meio de um comando do PowerShell. Posteriormente, o malware encerrará vários bancos de dados, aplicativos, clientes de e-mail e muito mais como uma preparação para iniciar sua rotina de criptografia. DarkSide, no entanto, evita adulterar o seguinte processo:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

A inclusão do TeamViewer nessa lista é bastante curiosa e pode sugerir que o agente da ameaça depende do aplicativo para acesso remoto aos computadores comprometidos.

A nota de resgate exibida também será feita sob medida para o alvo escolhido no momento. As notas geralmente incluem a quantidade exata de dados coletados pelos hackers, seu tipo e um link para o servidor remoto onde os dados foram carregados. A informação adquirida é usada como uma ferramenta potente de extorsão. Se a organização violada se recusar a atender às demandas do DarkSide, os dados podem ser vendidos aos concorrentes ou simplesmente divulgados ao público e prejudicar seriamente a reputação da vítima.