DarkSide APT

DarkSide APT je akter kibernetski kriminalne grožnje po vzoru trenda Ransomware-as-a-Corporation (RaaC). Skupina je specializirana za uvajanje napadov z izsiljevalsko programsko opremo proti posebej izbranim ciljem. Nekateri raziskovalci infosec so ocenili, da je DarkSide uspelo od svojih žrtev izsiliti skupno milijon dolarjev.

Splošne taktike, tehnike in postopki (TTPS) DarkSide kažejo velike podobnosti in se v mnogih primerih prekrivajo z metodami, ki jih vidimo v napadih drugih APT- jev , kot so Sodinokibi, DoppelPaymer, Maze in NetWalker . Tisto, kar DarkSide loči, pa je zelo ciljno usmerjen pristop skupine pri izbiri žrtev, ustvarjanje izvedljivih programov za odkupno programsko opremo po meri za vsako ciljno organizacijo in značilnosti, podobne podjetjem, ki so jih sprejeli.

Uradno sporočilo za javnost za dodatno legitimnost

DarkSide je s sporočilom za javnost, objavljenim na njihovem spletnem mestu Tor, napovedal začetek njihove operacije izsiljevalske programske opreme. Čeprav to ni prvič, da se akterji groženj zanašajo na sporočila za javnost kot komunikacijski kanal, je to še vedno redek pojav. Vendar imajo sporočila za javnost nekaj prednosti – kibernetski kriminalci omogočajo, da ustvarijo podobo profesionalnega subjekta, ki mu je mogoče zaupati, da bo podprl njihov konec kakršnih koli pogajanj, hkrati pa pritegnejo večjo medijsko pozornost, kar se lahko uporabi kot vzvod proti kateri koli zloženi organizaciji. Navsezadnje je večina ransomware APT začela zbirati zasebne podatke, preden je zaklenila datoteke na okuženih računalnikih. Eksfiltrirane informacije so nato oborožene in vpletenost medijev bi lahko pomenila še večjo škodo na ugledu prizadetega podjetja.

Hekerji z moralnim kodeksom?

V svojem sporočilu za javnost hekerji DarkSide opisujejo več vidikov svojega prihodnjega delovanja. Očitno se bodo kibernetski kriminalci vzdržali kakršnih koli napadov na kritične ali ranljive sektorje, kot so bolnišnice, šole in celo vladni subjekti. Poleg tega skupina APT pojasnjuje, da namerava slediti ciljem, ki temeljijo na finančnih prihodkih tega subjekta, kar pomeni, da se bodo izogibali podjetjem, ki so že finančno v težavah. Čeprav gre za nekaj resnično plemenitih namenov, vsaj za organizacijo kibernetskih kriminalcev, je treba še videti, ali bo DarkSide uspel slediti. Navsezadnje bolnišnice ostajajo med najverjetnejšimi tarčami napadov izsiljevalne programske opreme.

Orodja za izsiljevalsko programsko opremo

Operaterji DarkSide spremenijo svoj zlonamerni komplet orodij, da se ujemajo s trenutno izbranim ciljem. Čeprav ta metoda zahteva veliko več truda kot preprosto uvajanje iste izvedljive izsiljevalne programske opreme ves čas, zagotavlja večje možnosti za uspeh. Grožnja z izsiljevalsko programsko opremo izbriše kopije senčnih količin v ogroženem sistemu z ukazom PowerShell. Nato bo zlonamerna programska oprema ukinila številne baze podatkov, aplikacije, poštne odjemalce in še več kot pripravo na začetek rutine šifriranja. DarkSide pa se izogiba poseganju v naslednji postopek:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

Vključitev TeamViewerja na ta seznam je precej radovedna in lahko nakazuje, da se akter grožnje zanaša na aplikacijo za oddaljeni dostop do ogroženih računalnikov.

Prikazana opomba za odkupnino bo prav tako prilagojena za trenutno izbrano tarčo. Opombe običajno vključujejo natančno količino podatkov, ki so jih zbrali hekerji, njihovo vrsto in povezavo do oddaljenega strežnika, kamor so bili podatki naloženi. Pridobljene informacije se uporabljajo kot močno orodje za izsiljevanje. Če kršena organizacija noče izpolniti zahtev DarkSide, se lahko podatki bodisi prodajo konkurentom ali preprosto objavijo v javnosti in močno škodijo ugledu žrtve.