ДаркСиде АПТ

ДаркСиде АПТ је актер сајбер-криминалних претњи по узору на тренд Рансомваре-ас-а-Цорпоратион (РааЦ). Група је специјализована за примену напада рансомваре-а на посебно одабране мете. Неки истраживачи инфосец-а су проценили да је ДаркСиде успео да изнуди укупно милион долара од својих жртава.

Опште тактике, технике и процедуре (ТТПС) ДаркСиде-а показују велике сличности и, у многим случајевима, преклапају се са методама које се виде у нападним кампањама других АПТ-а као што су Содинокиби , ДоппелПаимер, Мазе и НетВалкер . Оно што ДаркСиде издваја, међутим, јесте високо циљани приступ групе приликом одабира својих жртава, креирање прилагођених извршних програма за рансомваре за сваку циљану организацију и карактеристике налик на корпоративне које су усвојили.

Званично саопштење за јавност за додатни легитимитет

ДаркСиде је најавио почетак њихове операције рансомваре-а путем саопштења за јавност објављеног на њиховој веб страници Тор. Иако ово није први пут да се актери претњи ослањају на саопштења за јавност као на канал комуникације, то је још увек ретка појава. Међутим, саопштења за јавност имају неке предности – омогућавају сајбер криминалцима да пројектују имиџ професионалног субјекта коме се може веровати да ће подржати њихов крај било каквих преговора, док истовремено привлаче већу пажњу медија, што се може користити као полуга против било које организације која је прекршена. На крају крајева, већина АПТ софтвера за рансомваре је почела да прикупља приватне податке пре закључавања датотека на зараженим машинама. Ексфилтриране информације се онда наоружавају, а умешаност медија би могла да значи још већу репутацију погођене компаније.

Хакери са моралним кодексом?

У свом саопштењу за штампу, ДаркСиде хакери наводе неколико аспеката својих будућих операција. Очигледно, сајбер криминалци ће се уздржати од покретања било каквих напада на критичне или рањиве секторе као што су болнице, школе, па чак и владини субјекти. Поврх тога, АПТ група појашњава да намерава да следи циљеве засноване на финансијским приходима тог ентитета, имплицирајући да ће избегавати компаније које се већ финансијски боре. Иако су ово неке заиста племените намере, барем за организацију сајбер-криминалаца, остаје да се види да ли ће ДаркСиде успети да спроведе. На крају крајева, болнице остају међу највероватнијим метама напада рансомвера.

Рансомваре Тоолс

Оператери ДаркСиде-а модификују свој злонамерни комплет алата како би одговарали тренутно изабраној мети. Иако овај метод захтева много више труда од једноставног постављања истог извршног програма за рансомвер све време, он обезбеђује веће шансе за успех. Претња рансомваре-а брише Схадов Волуме Цопиес на компромитованом систему преко ПоверСхелл команде. Након тога, злонамерни софтвер ће прекинути бројне базе података, апликације, клијенте поште и још много тога као припрему за покретање рутине шифровања. ДаркСиде, међутим, избегава мешање у следећи процес:

• Вмцомпуте.еке
• Вммс.еке
• Вмвп.еке
• Свцхост.еке
• ТеамВиевер.еке
• Екплорер.еке

Укључивање ТеамВиевер-а на ту листу је прилично радознало и може сугерисати да се актер претње ослања на апликацију за даљински приступ компромитованим рачунарима.

Приказана порука о откупнини такође ће бити скројена за тренутно изабрану мету. Напомене обично укључују тачну количину података које су прикупили хакери, њихов тип и везу до удаљеног сервера на који су подаци отпремљени. Добијене информације се користе као моћно средство за изнуду. Ако оштећена организација одбије да испуни захтеве ДаркСиде-а, подаци могу бити продати конкурентима или једноставно објављени у јавности и озбиљно нарушити репутацију жртве.