DarkSide APT

DarkSide APT, Şirket olarak Ransomware (RaaC) trendinden sonra modellenmiş bir siber suçlu tehdit aktörüdür. Grup, özel olarak seçilmiş hedeflere fidye yazılımı saldırıları dağıtma konusunda uzmanlaşmıştır. Bazı infosec araştırmacıları, DarkSide'ın kurbanlarından toplam 1 milyon doları gasp etmeyi başardığını tahmin ediyor.

DarkSide'ın genel taktikleri, teknikleri ve prosedürleri (TTPS) büyük benzerlikler gösterir ve çoğu durumda Sodinokibi, DoppelPaymer, Maze ve NetWalker gibi diğer APT'lerin saldırı kampanyalarında görülen yöntemlerle örtüşür. DarkSide'ı diğerlerinden ayıran şey, grubun kurbanlarını seçerken son derece hedefli yaklaşımı, hedeflenen her kuruluş için özel fidye yazılımı çalıştırılabilir dosyaları ve benimsedikleri kurumsal benzeri özelliklerdir.

Daha Fazla Meşruiyet için Resmi Basın Bildirisi

DarkSide, Tor web sitesinde yayınlanan bir basın bülteniyle fidye yazılımı operasyonunun başladığını duyurdu. Bu, tehdit aktörlerinin bir iletişim kanalı olarak basın bültenlerine ilk kez güvenmeleri olmasa da, yine de nadir görülen bir durumdur. Bununla birlikte, basın bültenlerinin bazı avantajları vardır - siber suçluların, aynı anda daha büyük medyanın ilgisini çekerken herhangi bir müzakerenin sonunu sürdürmek için güvenilebilecek ve ihlal edilen herhangi bir kuruluşa karşı bir kaldıraç olarak kullanılabilecek profesyonel bir varlığın imajını yansıtmalarına izin verirler. Sonuçta, çoğu fidye yazılımı APT'si, etkilenen makinelerde dosyaları kilitlemeden önce özel verileri toplamaya başladı. Sızdırılan bilgiler daha sonra silah haline getirilir ve medyanın katılımı, etkilenen şirket için daha da büyük itibar zedelenmesi anlamına gelebilir.

Ahlaki Kodlu Hackerlar?

DarkSide bilgisayar korsanları basın açıklamasında gelecekteki operasyonlarının birkaç yönünü özetlemektedir. Görünüşe göre, siber suçlular hastaneler, okullar ve hatta devlet kurumları gibi kritik veya savunmasız sektörlere karşı herhangi bir saldırı başlatmaktan kaçınacaklar. Üstelik APT grubu, o işletmenin finansal gelirine dayalı hedeflerin peşinden gitmeyi planladıklarını açıklayarak, halihazırda finansal olarak mücadele eden şirketlerden kaçınacaklarını ima ediyor. Bunlar gerçekten asil niyetler olsa da, en azından bir siber suç örgütü için, DarkSide'ın bunu takip edip edemeyeceği henüz belli değil. Sonuçta, hastaneler fidye yazılımı saldırılarının en olası hedefleri arasında yer alıyor.

Fidye Yazılımı Araçları

DarkSide operatörleri, kötü amaçlı araç setini seçili hedefle eşleşecek şekilde değiştirir. Bu yöntem, aynı fidye yazılımını her zaman çalıştırılmasından çok daha fazla çaba gerektirse de, daha yüksek bir başarı şansı sağlar. Fidye yazılımı tehdidi, bir PowerShell komutu aracılığıyla tehlike altındaki sistemdeki Gölge Birim Kopyalarını siler. Daha sonra kötü amaçlı yazılım, şifreleme rutinini başlatmak için çok sayıda veritabanını, uygulamayı, posta istemcisini ve daha fazlasını sonlandıracak. DarkSide, ancak aşağıdaki işlemde değişiklik yapılmasını önler:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

TeamViewer'ın bu listeye dahil edilmesi oldukça ilginçtir ve tehdit aktörünün tehlikeye atılan bilgisayarlara uzaktan erişim için uygulamaya güvenmesini önerebilir.

Görüntülenen fidye notu da halihazırda seçilmiş olan hedef için özel olarak hazırlanacaktır. Notlar genellikle bilgisayar korsanları tarafından toplanan tam veri miktarını, türünü ve verilerin yüklendiği uzak sunucuya bir bağlantıyı içerir. Elde edilen bilgiler, güçlü bir gasp aracı olarak kullanılmaktadır. İhlal edilen organizasyon DarkSide'ın taleplerini karşılamayı reddederse, veriler rakiplere satılabilir veya basitçe halka açıklanabilir ve mağdurun itibarına ciddi şekilde zarar verebilir.