DarkSide APT

DarkSide APT คือผู้คุกคามทางไซเบอร์ที่สร้างแบบจำลองตามเทรนด์ Ransomware-as-a-Corporation (RaaC) กลุ่มนี้เชี่ยวชาญในการปรับใช้การโจมตีแรนซัมแวร์กับเป้าหมายที่เลือกไว้โดยเฉพาะ นักวิจัยของอินโฟเซคบางคนคาดการณ์ว่า DarkSide สามารถรีดไถเงินจากเหยื่อได้ทั้งหมด 1 ล้านดอลลาร์

กลวิธี เทคนิค และขั้นตอนทั่วไป (TTPS) ของ DarkSide แสดงให้เห็นความคล้ายคลึงกันอย่างมาก และในหลายกรณีก็ทับซ้อนกับวิธีการที่พบในแคมเปญการโจมตีจาก APT อื่นๆ เช่น Sodinokibi , DoppelPaymer, Maze และ NetWalker อย่างไรก็ตาม สิ่งที่ทำให้ DarkSide แตกต่างออกไปคือแนวทางที่ตรงเป้าหมายของกลุ่มเมื่อเลือกเหยื่อ การสร้างโปรแกรมเรียกค่าไถ่แบบกำหนดเองสำหรับองค์กรเป้าหมายแต่ละองค์กร และคุณลักษณะที่เหมือนองค์กรที่พวกเขานำมาใช้

ข่าวประชาสัมพันธ์อย่างเป็นทางการเพื่อเพิ่มความชอบธรรม

DarkSide ประกาศการเริ่มต้นของการดำเนินการ ransomware ผ่านการแถลงข่าวที่เผยแพร่บนเว็บไซต์ Tor ของพวกเขา แม้ว่านี่จะไม่ใช่ครั้งแรกที่ผู้คุกคามใช้ข่าวประชาสัมพันธ์เป็นช่องทางการสื่อสาร แต่ก็ยังเป็นเหตุการณ์ที่เกิดขึ้นได้ยาก อย่างไรก็ตาม ข่าวประชาสัมพันธ์มีข้อดีบางประการ - พวกเขาอนุญาตให้อาชญากรไซเบอร์ฉายภาพขององค์กรมืออาชีพที่สามารถเชื่อถือได้ให้ยุติการเจรจาใด ๆ ในขณะที่ดึงดูดความสนใจของสื่อมากขึ้นพร้อม ๆ กัน ซึ่งสามารถใช้เป็นข้อได้เปรียบกับองค์กรใด ๆ ที่ถูกละเมิด ท้ายที่สุด APT ของแรนซัมแวร์ส่วนใหญ่ได้เริ่มรวบรวมข้อมูลส่วนตัวก่อนที่จะล็อคไฟล์ในเครื่องที่ติดไวรัส ข้อมูลที่ดึงออกมาจะถูกติดอาวุธและการมีส่วนร่วมของสื่ออาจหมายถึงความเสียหายด้านชื่อเสียงที่ยิ่งใหญ่กว่าสำหรับบริษัทที่ได้รับผลกระทบ

แฮกเกอร์ที่มีจรรยาบรรณ?

ในการแถลงข่าว แฮ็กเกอร์ DarkSide ได้สรุปแง่มุมต่างๆ ของการดำเนินงานในอนาคตของพวกเขาไว้หลายประการ เห็นได้ชัดว่าอาชญากรไซเบอร์จะละเว้นจากการโจมตีใดๆ ต่อภาคส่วนที่สำคัญหรือมีความเสี่ยง เช่น โรงพยาบาล โรงเรียน และแม้แต่หน่วยงานของรัฐ ยิ่งไปกว่านั้น กลุ่ม APT ชี้แจงว่าพวกเขาตั้งใจที่จะทำตามเป้าหมายโดยพิจารณาจากรายได้ทางการเงินของนิติบุคคลนั้น ซึ่งหมายความว่าพวกเขาจะหลีกเลี่ยงบริษัทที่ประสบปัญหาทางการเงินอยู่แล้ว แม้ว่าสิ่งเหล่านี้เป็นความตั้งใจอันสูงส่งอย่างแท้จริง อย่างน้อยสำหรับองค์กรอาชญากรไซเบอร์ ยังคงต้องจับตาดูว่า DarkSide จะจัดการให้สำเร็จหรือไม่ ท้ายที่สุด โรงพยาบาลยังคงเป็นเป้าหมายที่มีแนวโน้มมากที่สุดของการโจมตีด้วยแรนซัมแวร์

เครื่องมือแรนซัมแวร์

ตัวดำเนินการ DarkSide แก้ไขชุดเครื่องมือที่เป็นอันตรายเพื่อให้ตรงกับเป้าหมายที่เลือกในปัจจุบัน แม้ว่าวิธีนี้ต้องใช้ความพยายามมากกว่าเพียงแค่ปรับใช้โปรแกรมเรียกค่าไถ่ตัวเดียวกันที่เรียกใช้งานได้ตลอดเวลา แต่ก็ช่วยให้มั่นใจได้ว่ามีโอกาสประสบความสำเร็จสูง ภัยคุกคามจากแรนซัมแวร์จะลบ Shadow Volume Copies บนระบบที่ถูกบุกรุกผ่านคำสั่ง PowerShell หลังจากนั้น มัลแวร์จะยุติฐานข้อมูล แอปพลิเคชัน โปรแกรมรับส่งเมล และอื่นๆ จำนวนมาก เพื่อเตรียมการสำหรับการเริ่มต้นรูทีนการเข้ารหัส อย่างไรก็ตาม DarkSide หลีกเลี่ยงการยุ่งเกี่ยวกับกระบวนการต่อไปนี้:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

การรวม TeamViewer ไว้ในรายการนั้นค่อนข้างน่าสงสัยและอาจแนะนำว่าผู้คุกคามต้องอาศัยแอปพลิเคชันสำหรับการเข้าถึงระยะไกลไปยังคอมพิวเตอร์ที่ถูกบุกรุก

หมายเหตุเรียกค่าไถ่ที่แสดงจะถูกปรับแต่งสำหรับเป้าหมายที่เลือกในปัจจุบัน บันทึกย่อมักจะประกอบด้วยจำนวนที่แน่นอนของข้อมูลที่รวบรวมโดยแฮกเกอร์ ประเภทของข้อมูล และลิงก์ไปยังเซิร์ฟเวอร์ระยะไกลที่ข้อมูลถูกอัปโหลด ข้อมูลที่ได้มาถูกใช้เป็นเครื่องมือกรรโชกที่มีศักยภาพ หากองค์กรที่ละเมิดปฏิเสธที่จะปฏิบัติตามข้อกำหนดของ DarkSide ข้อมูลสามารถขายให้กับคู่แข่งหรือเปิดเผยต่อสาธารณะและสร้างความเสียหายต่อชื่อเสียงของเหยื่ออย่างร้ายแรง