DarkSide APT

DarkSide APT Paglalarawan

Ang DarkSide APT ay isang cybercriminal threat actor na itinulad sa trend ng Ransomware-as-a-Corporation (RaaC). Dalubhasa ang grupo sa pag-deploy ng mga pag-atake ng ransomware laban sa mga partikular na napiling target. Tinatantya ng ilang mga mananaliksik sa infosec na ang DarkSide ay nakapag-extort ng kabuuang $1 milyon mula sa mga biktima nito.

Ang mga pangkalahatang taktika, diskarte, at pamamaraan (TTPS) ng DarkSide ay nagpapakita ng magagandang pagkakatulad at, sa maraming kaso, nagsasapawan sa mga pamamaraan na nakikita sa mga kampanyang pang-atake mula sa iba pang mga APT gaya ng Sodinokibi , DoppelPaymer, Maze at NetWalker . Gayunpaman, ang pinagkaiba ng DarkSide ay ang lubos na naka-target na diskarte ng grupo kapag pumipili ng mga biktima nito, ang paglikha ng mga custom na ransomware na executable para sa bawat naka-target na organisasyon, at ang mga katangiang tulad ng korporasyon na kanilang pinagtibay.

Opisyal na Press Release para sa Added Legitimacy

Inanunsyo ng DarkSide ang pagsisimula ng kanilang ransomware operation sa pamamagitan ng press release na inilathala sa kanilang website ng Tor. Bagama't hindi ito ang unang pagkakataon na umasa ang mga aktor ng pagbabanta sa mga press release bilang channel ng komunikasyon, ito ay bihirang pangyayari pa rin. Gayunpaman, ang mga press release ay may ilang mga pakinabang - pinapayagan nila ang mga cybercriminal na magpakita ng isang imahe ng isang propesyonal na entity na mapagkakatiwalaan upang itaguyod ang kanilang pagtatapos sa anumang mga negosasyon habang nakakaakit ng mas malaking atensyon ng media nang sabay-sabay, na maaaring magamit bilang leverage laban sa anumang nilabag na organisasyon. Pagkatapos ng lahat, karamihan sa mga ransomware APT ay nagsimulang mangolekta ng pribadong data bago i-lock ang mga file sa mga nahawaang makina. Ang na-exfiltrate na impormasyon ay ginawang armas at ang paglahok ng media ay maaaring mangahulugan ng mas malaking pinsala sa reputasyon para sa apektadong kumpanya.

Mga Hacker na may Moral Code?

Sa kanilang press release, binabalangkas ng mga hacker ng DarkSide ang ilang aspeto ng kanilang mga operasyon sa hinaharap. Tila, ang mga cybercriminal ay hindi maglulunsad ng anumang pag-atake laban sa mga kritikal o mahinang sektor gaya ng mga ospital, paaralan, at maging ng mga entidad ng pamahalaan. Higit pa rito, nilinaw ng grupong APT na nilayon nilang habulin ang mga target batay sa kita sa pananalapi ng entity na iyon, na nagpapahiwatig na iiwasan nila ang mga kumpanyang nahihirapan na sa pananalapi. Bagama't ang mga ito ay ilang tunay na marangal na intensyon, hindi bababa sa para sa isang cybercriminal na organisasyon, nananatili itong makita kung magagawa ng DarkSide na sundin ito. Pagkatapos ng lahat, ang mga ospital ay nananatiling kabilang sa mga pinaka-malamang na target ng pag-atake ng ransomware.

Mga Tool sa Ransomware

Binabago ng mga operator ng DarkSide ang kanilang nakakahamak na toolkit upang tumugma sa kasalukuyang napiling target. Bagama't ang pamamaraang ito ay nangangailangan ng mas maraming pagsisikap kaysa sa simpleng pag-deploy ng parehong ransomware na maipapatupad sa lahat ng oras, tinitiyak nito ang mas mataas na pagkakataon ng tagumpay. Tinatanggal ng banta ng ransomware ang Shadow Volume Copies sa nakompromisong system sa pamamagitan ng PowerShell command. Pagkatapos, wawakasan ng malware ang maraming database, application, mail client, at higit pa bilang paghahanda para sa pagsisimula ng nakagawiang pag-encrypt nito. Gayunpaman, iniiwasan ng DarkSide ang pakikialam sa sumusunod na proseso:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

Ang pagsasama ng TeamViewer sa listahang iyon ay medyo kakaiba at maaaring magmungkahi na ang aktor ng pagbabanta ay umaasa sa application para sa malayuang pag-access sa mga nakompromisong computer.

Ang ipinapakitang ransom note ay gagawin din para sa kasalukuyang napiling target. Karaniwang kasama sa mga tala ang eksaktong dami ng data na nakolekta ng mga hacker, uri nito, at isang link sa malayong server kung saan na-upload ang data. Ang nakuhang impormasyon ay ginagamit bilang isang makapangyarihang kasangkapan sa pangingikil. Kung tumangging tugunan ng nilabag na organisasyon ang mga hinihingi ng DarkSide, maaaring ibenta ang data sa mga kakumpitensya o i-release lang sa publiko at masira ang reputasyon ng biktima nang husto.