DarkSide APT

DarkSide APT është një aktor i kërcënimit kriminal kibernetik i modeluar sipas trendit Ransomware-as-a-a-Corporation (RaaC). Grupi është i specializuar në vendosjen e sulmeve ransomware kundër objektivave të zgjedhura në mënyrë specifike. Disa studiues të infosec kanë vlerësuar se DarkSide ka arritur të zhvasë gjithsej 1 milion dollarë nga viktimat e saj.

Taktikat, teknikat dhe procedurat e përgjithshme (TTPS) të DarkSide tregojnë ngjashmëri të mëdha dhe, në shumë raste, mbivendosen me metodat që shihen në fushatat e sulmit nga APT të tjera si Sodinokibi , DoppelPaymer, Maze dhe NetWalker . Megjithatë, ajo që e veçon DarkSide është qasja shumë e synuar e grupit kur zgjedh viktimat e tij, krijimi i ekzekutuesve të personalizuar të ransomware për secilën organizatë të synuar dhe karakteristikat e ngjashme me korporatat që ata kanë adoptuar.

Deklaratë Zyrtare për Shtyp për Legjitimitetin e Shtuar

DarkSide njoftoi fillimin e operacionit të tyre ransomware përmes një njoftimi për shtyp të publikuar në faqen e tyre të Tor. Ndonëse kjo nuk është hera e parë që aktorët e kërcënimit mbështeten në njoftimet për shtyp si një kanal komunikimi, është ende një dukuri e rrallë. Megjithatë, njoftimet për shtyp kanë disa avantazhe - ato i lejojnë kriminelët kibernetikë të projektojnë një imazh të një entiteti profesional që mund t'i besohet për të mbështetur përfundimin e tyre të çdo negociate duke tërhequr njëkohësisht vëmendjen më të madhe të medias, e cila mund të përdoret si levë kundër çdo organizate të shkelur. Në fund të fundit, shumica e APT-ve të ransomware kanë filluar të mbledhin të dhëna private përpara se të kyçin skedarët në makinat e infektuara. Informacioni i eksfiltruar më pas përdoret me armë dhe përfshirja e medias mund të sjellë dëme edhe më të mëdha reputacionin për kompaninë e prekur.

Hakerë me kod moral?

Në njoftimin e tyre për shtyp, hakerët e DarkSide përshkruajnë disa aspekte të operacioneve të tyre të ardhshme. Me sa duket, kriminelët kibernetikë do të përmbahen nga çdo sulm kundër sektorëve kritikë ose të cenueshëm si spitalet, shkollat, madje edhe entitetet qeveritare. Për më tepër, grupi APT sqaron se ata synojnë të ndjekin objektivat bazuar në të ardhurat financiare të këtij subjekti, duke lënë të kuptohet se do të shmangin kompanitë që tashmë janë në vështirësi financiare. Ndërsa këto janë disa synime vërtet fisnike, të paktën për një organizatë kriminale kibernetike, mbetet për t'u parë nëse DarkSide do të arrijë t'i ndjekë. Në fund të fundit, spitalet mbeten ndër objektivat më të mundshëm të sulmeve të ransomware.

Mjetet e Ransomware

Operatorët DarkSide modifikojnë paketën e tyre të veglave me qëllim të keq për t'u përshtatur me objektivin e zgjedhur aktualisht. Ndërsa kjo metodë kërkon shumë më tepër përpjekje sesa thjesht vendosja e të njëjtit ransomware të ekzekutueshëm gjatë gjithë kohës, ajo siguron një shans më të lartë suksesi. Kërcënimi i ransomware fshin kopjet e volumit të hijes në sistemin e komprometuar përmes një komande PowerShell. Më pas, malware do të mbyllë bazat e të dhënave të shumta, aplikacionet, klientët e postës dhe më shumë si një përgatitje për fillimin e rutinës së tij të enkriptimit. DarkSide, megjithatë, shmang ngatërrimin me procesin e mëposhtëm:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

Përfshirja e TeamViewer në atë listë është mjaft kurioze dhe mund të sugjerojë që aktori i kërcënimit mbështetet në aplikacionin për qasje në distancë në kompjuterët e komprometuar.

Shënimi i shpërblesës i shfaqur gjithashtu do të jetë i përshtatur për objektivin e zgjedhur aktualisht. Shënimet zakonisht përfshijnë sasinë e saktë të të dhënave të mbledhura nga hakerat, llojin e tyre dhe një lidhje me serverin në distancë ku u ngarkuan të dhënat. Informacioni i marrë përdoret si një mjet i fuqishëm zhvatjeje. Nëse organizata e shkelur refuzon të përmbushë kërkesat e DarkSide, të dhënat ose mund t'u shiten konkurrentëve ose thjesht mund t'i lëshohen publikut dhe të dëmtojnë rëndë reputacionin e viktimës.