DarkSide APT

DarkSide APT Popis

DarkSide APT je aktér kyberzločineckých hrozieb modelovaný podľa trendu Ransomware-as-a-Corporation (RaaC). Skupina sa špecializuje na nasadenie ransomvérových útokov proti konkrétne vybraným cieľom. Niektorí výskumníci z infosec odhadli, že DarkSide sa podarilo od svojich obetí vymámiť celkovo 1 milión dolárov.

Všeobecné taktiky, techniky a postupy (TTPS) DarkSide vykazujú veľkú podobnosť a v mnohých prípadoch sa prekrývajú s metódami pozorovanými v útočných kampaniach z iných APT, ako sú Sodinokibi , DoppelPaymer, Maze a NetWalker . Čo však odlišuje DarkSide, je vysoko cielený prístup skupiny pri výbere svojich obetí, vytváranie vlastných spustiteľných súborov ransomvéru pre každú cieľovú organizáciu a charakteristiky podobné podnikom, ktoré si osvojili.

Oficiálna tlačová správa o pridanej legitimite

DarkSide oznámil začiatok svojej ransomvérovej operácie prostredníctvom tlačovej správy zverejnenej na ich webovej stránke Tor. Hoci to nie je prvýkrát, čo sa aktéri hrozieb spoliehali na tlačové správy ako na komunikačný kanál, stále je to zriedkavý jav. Tlačové správy však majú určité výhody – umožňujú kyberzločincom vytvoriť imidž profesionálneho subjektu, ktorému možno dôverovať, že dodrží svoj koniec akýchkoľvek rokovaní a súčasne pritiahne väčšiu pozornosť médií, čo možno použiť ako páku proti akejkoľvek narušenej organizácii. Koniec koncov, väčšina ransomvérových APT začala zhromažďovať súkromné údaje pred uzamknutím súborov na infikovaných počítačoch. Exfiltrované informácie sú následne zneužité a zapojenie médií by mohlo znamenať ešte väčšiu ujmu na reputácii dotknutej spoločnosti.

Hackeri s morálnym kódexom?

Vo svojej tlačovej správe načrtávajú hackeri DarkSide niekoľko aspektov ich budúcich operácií. Kyberzločinci sa zjavne zdržia akýchkoľvek útokov proti kritickým alebo zraniteľným sektorom, ako sú nemocnice, školy a dokonca aj vládne subjekty. Okrem toho skupina APT objasňuje, že má v úmysle ísť za cieľmi založenými na finančných príjmoch tohto subjektu, čo znamená, že sa vyhnú spoločnostiam, ktoré už majú finančné problémy. Aj keď ide o skutočne ušľachtilé zámery, prinajmenšom pre organizáciu kyberzločincov, sa uvidí, či sa DarkSide podarí dotiahnuť do konca. Nemocnice napokon zostávajú medzi najpravdepodobnejšími cieľmi ransomvérových útokov.

Nástroje ransomvéru

Operátori DarkSide upravujú svoju súpravu škodlivých nástrojov tak, aby zodpovedali aktuálne zvolenému cieľu. Aj keď táto metóda vyžaduje oveľa viac úsilia ako jednoduché nasadenie stále rovnakého ransomvéru, zaisťuje vyššiu šancu na úspech. Hrozba ransomvéru odstráni tieňové kópie zväzku na napadnutom systéme pomocou príkazu PowerShell. Potom malvér ukončí množstvo databáz, aplikácií, poštových klientov a ďalšie ako prípravu na spustenie svojej šifrovacej rutiny. DarkSide sa však vyhýba manipulácii s nasledujúcim procesom:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

Zahrnutie TeamViewer do tohto zoznamu je dosť zvláštne a môže naznačovať, že aktér hrozby sa spolieha na aplikáciu na vzdialený prístup k napadnutým počítačom.

Zobrazená poznámka o výkupnom bude tiež prispôsobená aktuálne zvolenému cieľu. Poznámky zvyčajne obsahujú presné množstvo údajov zhromaždených hackermi, ich typ a odkaz na vzdialený server, kam boli údaje nahrané. Získané informácie sa používajú ako účinný nástroj vydierania. Ak narušená organizácia odmietne splniť požiadavky DarkSide, údaje môžu byť buď predané konkurentom, alebo jednoducho zverejnené na verejnosti a vážne poškodiť povesť obete.