АПТ DarkSide

АПТ DarkSide Описание

DarkSide APT — это киберпреступник, созданный по образцу тенденции Ransomware-as-a-Corporation (RaaC). Группа специализируется на развертывании атак программ-вымогателей против специально выбранных целей. Некоторые исследователи информационной безопасности подсчитали, что DarkSide удалось вымогать у своих жертв в общей сложности 1 миллион долларов.

Общие тактики, методы и процедуры (TTPS) DarkSide демонстрируют большое сходство и во многих случаях совпадают с методами, используемыми в кампаниях атак других APT, таких как Sodinokibi , DoppelPaymer, Maze и NetWalker . Что отличает DarkSide, так это целенаправленный подход группы к выбору своих жертв, создание пользовательских исполняемых файлов программ-вымогателей для каждой целевой организации и корпоративные характеристики, которые они приняли.

Официальный пресс-релиз для дополнительной легитимности

DarkSide объявили о начале своей операции по вымогательству в пресс-релизе, опубликованном на их веб-сайте Tor. Хотя это не первый случай, когда злоумышленники полагаются на пресс-релизы в качестве канала связи, это все еще редкость. Тем не менее, у пресс-релизов есть некоторые преимущества: они позволяют киберпреступникам создавать образ профессиональной организации, которой можно доверять, чтобы отстаивать свою точку зрения на любых переговорах, одновременно привлекая большее внимание средств массовой информации, что может быть использовано в качестве рычага против любой взломанной организации. В конце концов, большинство APT-вымогателей начали собирать личные данные, прежде чем блокировать файлы на зараженных машинах. Украденная информация затем используется в качестве оружия, а участие СМИ может нанести еще больший ущерб репутации пострадавшей компании.

Хакеры с моральным кодексом?

В своем пресс-релизе хакеры DarkSide обрисовывают несколько аспектов своих будущих операций. Судя по всему, киберпреступники воздержатся от любых атак на критически важные или уязвимые сектора, такие как больницы, школы и даже государственные учреждения. Кроме того, группа APT поясняет, что они намерены преследовать цели, основанные на финансовых доходах этой организации, подразумевая, что они будут избегать компаний, которые уже испытывают финансовые трудности. Хотя это действительно благородные намерения, по крайней мере, для киберпреступной организации, еще неизвестно, удастся ли DarkSide реализовать их. В конце концов, больницы остаются одними из наиболее вероятных целей атак программ-вымогателей.

Инструменты для программ-вымогателей

Операторы DarkSide модифицируют свой вредоносный инструментарий, чтобы он соответствовал текущей выбранной цели. Хотя этот метод требует гораздо больше усилий, чем просто постоянное развертывание одного и того же исполняемого файла программы-вымогателя, он обеспечивает более высокие шансы на успех. Программа-вымогатель удаляет копии теневого тома в скомпрометированной системе с помощью команды PowerShell. После этого вредоносное ПО завершит работу многочисленных баз данных, приложений, почтовых клиентов и т. д. в качестве подготовки к запуску процедуры шифрования. Однако DarkSide избегает вмешательства в следующий процесс:

  • vmcompute.exe
  • vmms.exe
  • vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

Включение TeamViewer в этот список довольно любопытно и может свидетельствовать о том, что злоумышленник полагается на приложение для удаленного доступа к скомпрометированным компьютерам.

Отображаемая записка о выкупе также будет адаптирована для текущей выбранной цели. В примечаниях обычно указывается точный объем данных, собранных хакерами, их тип и ссылка на удаленный сервер, на который эти данные были загружены. Полученная информация используется как мощный инструмент вымогательства. Если взломанная организация отказывается выполнять требования DarkSide, данные могут быть либо проданы конкурентам, либо просто обнародованы, что серьезно подорвет репутацию жертвы.