DarkSide APT

DarkSide APT är en cyberbrottslig skådespelare modellerad efter Ransomware-as-a-Corporation (RaaC) -trenden. Gruppen är specialiserad på att distribuera ransomware-attacker mot specifikt valda mål. Vissa infosec-forskare har uppskattat att DarkSide har lyckats utpressa totalt 1 miljon dollar från sina offer.

DarkSides allmänna taktik, tekniker och procedurer (TTPS) visar stora likheter och överlappar i många fall de metoder som ses i attackkampanjer från andra APT: er som Sodinokibi, DoppelPaymer, Maze och NetWalker. Det som emellertid skiljer DarkSide ut är gruppens mycket riktade tillvägagångssätt när man väljer sina offer, skapandet av anpassade ransomware-körbara filer för varje riktad organisation och de företagsliknande egenskaper som de har antagit.

Officiellt pressmeddelande för extra legitimitet

DarkSide tillkännagav starten på sin ransomware-operation genom ett pressmeddelande som publicerades på deras Tor-webbplats. Även om detta inte är första gången som hotaktörer litar på pressmeddelanden som en kommunikationskanal är det fortfarande en sällsynt händelse. Pressmeddelanden har dock vissa fördelar - de tillåter cyberbrottslingar att projicera en bild av en professionell enhet som man kan lita på att upprätthålla slutet på alla förhandlingar samtidigt som man uppmärksammar större medieuppmärksamhet samtidigt, vilket kan användas som hävstång mot alla organisationer som bryts mot. När allt kommer omkring har de flesta ransomware-APT: er börjat samla in privat data innan de låser filerna på de infekterade maskinerna. Den exfiltrerade informationen beväpnas sedan och medias medverkan kan betyda ännu större rykte för det drabbade företaget.

Hackare med moralisk kod?

I sitt pressmeddelande beskriver DarkSide-hackarna flera aspekter av deras framtida verksamhet. Tydligen kommer cyberbrottslingar att avstå från att inleda några attacker mot kritiska eller utsatta sektorer som sjukhus, skolor och till och med statliga enheter. Dessutom förtydligar APT-gruppen att de tänker gå efter mål baserade på enhetens ekonomiska intäkter, vilket innebär att de kommer att undvika företag som redan kämpar ekonomiskt. Även om det här är några ädla avsikter, åtminstone för en cyberkriminell organisation, återstår det att se om DarkSide kommer att lyckas följa igenom. När allt kommer omkring är sjukhus bland de mest troliga målen för ransomware-attacker.

Ransomware-verktyg

DarkSide-operatörerna ändrar sin skadliga verktygslåda för att matcha det valda målet. Medan denna metod kräver mycket mer ansträngning än att bara distribuera samma ransomware-körbar hela tiden, garanterar den en högre chans att lyckas. Ransomwarehotet raderar Shadow Volume Copies på det komprometterade systemet via ett PowerShell-kommando. Därefter avslutar skadlig programvara många databaser, applikationer, e-postklienter och mer som en förberedelse för att initiera krypteringsrutinen. DarkSide undviker dock att manipulera med följande process:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

Inkluderingen av TeamViewer i listan är ganska nyfiken och kan tyda på att hotaktören förlitar sig på applikationen för fjärråtkomst till de komprometterade datorerna.

Den visade lösensedeln kommer också att skräddarsys för det för närvarande valda målet. Anteckningarna innehåller vanligtvis den exakta mängden data som samlats in av hackarna, dess typ och en länk till fjärrservern där data laddades upp. Den förvärvade informationen används som ett kraftfullt utpressningsverktyg. Om organisationen som bryts mot vägrar att uppfylla DarkSides krav kan uppgifterna antingen säljas till konkurrenter eller helt enkelt släppas till allmänheten och skada offrets rykte allvarligt.