DarkSide APT

DarkSide APT Descriere

DarkSide APT este un actor de amenințări cibernetice modelat după tendința Ransomware-as-a-Corporation (RaaC). Grupul este specializat în implementarea atacurilor ransomware împotriva țintelor alese în mod special. Unii cercetători infosec au estimat că DarkSide a reușit să stocheze un total de 1 milion de dolari victimelor sale.

Tacticile, tehnicile și procedurile generale (TTPS) ale DarkSide prezintă asemănări mari și, în multe cazuri, se suprapun cu metodele observate în campaniile de atac de la alte APT-uri precum Sodinokibi , DoppelPaymer, Maze și NetWalker . Cu toate acestea, ceea ce diferențiază DarkSide este abordarea foarte țintită a grupului atunci când își selectează victimele, crearea de executabile ransomware personalizate pentru fiecare organizație vizată și caracteristicile corporative pe care le-au adoptat.

Comunicat de presă oficial pentru legitimitate adăugată

DarkSide a anunțat începerea operațiunii lor de ransomware printr-un comunicat de presă publicat pe site-ul lor Tor. Deși nu este prima dată când actorii amenințărilor s-au bazat pe comunicatele de presă ca canal de comunicare, este totuși o întâmplare rară. Cu toate acestea, comunicatele de presă au unele avantaje - le permit infractorilor cibernetici să proiecteze o imagine a unei entități profesionale în care se poate avea încredere că va susține finalul oricăror negocieri, în timp ce atrage o atenție mai mare a presei simultan, care poate fi folosită ca pârghie împotriva oricărei organizații încălcate. La urma urmei, majoritatea APT-urilor ransomware au început să colecteze date private înainte de a bloca fișierele de pe mașinile infectate. Informațiile exfiltrate sunt apoi armate, iar implicarea presei ar putea însemna prejudicii și mai mari reputației companiei afectate.

Hackeri cu cod moral?

În comunicatul lor de presă, hackerii DarkSide subliniază câteva aspecte ale operațiunilor lor viitoare. Aparent, infractorii cibernetici se vor abține de la lansarea oricăror atacuri împotriva sectoarelor critice sau vulnerabile, cum ar fi spitalele, școlile și chiar entitățile guvernamentale. Pe deasupra, grupul APT clarifică că intenționează să urmeze ținte bazate pe veniturile financiare ale acelei entități, dând de înțeles că vor evita companiile care se confruntă deja cu probleme financiare. Deși acestea sunt niște intenții cu adevărat nobile, cel puțin pentru o organizație criminală cibernetică, rămâne de văzut dacă DarkSide va reuși să o ducă la bun sfârșit. La urma urmei, spitalele rămân printre cele mai probabile ținte ale atacurilor ransomware.

Instrumente ransomware

Operatorii DarkSide își modifică setul de instrumente rău intenționate pentru a se potrivi cu ținta selectată în prezent. Deși această metodă necesită mult mai mult efort decât simpla implementare a aceluiași executabil ransomware tot timpul, asigură o șansă mai mare de succes. Amenințarea ransomware șterge Copiile Shadow Volume de pe sistemul compromis printr-o comandă PowerShell. Ulterior, malware-ul va termina numeroase baze de date, aplicații, clienți de e-mail și multe altele, ca o pregătire pentru inițierea rutinei sale de criptare. Cu toate acestea, DarkSide evită modificarea următorului proces:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

Includerea TeamViewer în acea listă este destul de curioasă și poate sugera că actorul amenințării se bazează pe aplicația de acces de la distanță la computerele compromise.

Nota de răscumpărare afișată va fi, de asemenea, personalizată pentru ținta aleasă în prezent. Notele includ de obicei cantitatea exactă de date colectate de hackeri, tipul acesteia și un link către serverul de la distanță unde au fost încărcate datele. Informațiile dobândite sunt folosite ca un instrument puternic de extorcare. Dacă organizația încălcată refuză să îndeplinească cerințele DarkSide, datele pot fi fie vândute concurenților, fie pur și simplu eliberate publicului și dăunează grav reputației victimei.