DarkSide APT

DarkSide APT — це актор кіберзлочинних загроз, створений за моделлю тенденції Ransomware-as-a-Corporation (RaaC). Група спеціалізується на розгортанні атак програм-вимагачів проти спеціально вибраних цілей. Деякі дослідники Infosec підрахували, що DarkSide вдалося вимагати у своїх жертв 1 мільйон доларів.

Загальні тактики, прийоми та процедури (TTPS) DarkSide демонструють велику схожість і, у багатьох випадках, збігаються з методами, які можна побачити в кампаніях атак від інших APT, таких як Sodinokibi , DoppelPaymer, Maze і NetWalker . Однак те, що відрізняє DarkSide, — це дуже цілеспрямований підхід групи до відбору жертв, створення користувацьких програм-вимагачів для кожної цільової організації та корпоративні характеристики, які вони прийняли.

Офіційний прес-реліз для додаткової легітимності

DarkSide оголосила про початок роботи з програмним забезпеченням-вимагачем у прес-релізі, опублікованому на їхньому веб-сайті Tor. Хоча це не перший випадок, коли суб’єкти загроз покладаються на прес-релізи як на канал комунікації, це все ще рідкісне явище. Проте прес-релізи мають певні переваги – вони дозволяють кіберзлочинцям сформувати імідж професійної організації, якій можна довіряти, щоб підтримувати їхню кінець будь-яких переговорів, водночас привертаючи більшу увагу ЗМІ, що може бути використано як важіль проти будь-якої зловмисної організації. Зрештою, більшість програм-вимагачів APT почали збирати приватні дані, перш ніж заблокувати файли на заражених машинах. Вилучена інформація потім стає зброєю, і залучення ЗМІ може призвести до ще більшої шкоди репутації для постраждалої компанії.

Хакери з моральним кодексом?

У своєму прес-релізі хакери DarkSide окреслюють кілька аспектів своїх майбутніх операцій. Очевидно, кіберзлочинці утримаються від будь-яких атак на критичні або вразливі сектори, такі як лікарні, школи та навіть державні установи. Крім того, група APT уточнює, що вони мають намір досягати цілей, заснованих на фінансових доходах цієї організації, маючи на увазі, що вони будуть уникати компаній, які вже мають фінансові труднощі. Хоча це дійсно благородні наміри, принаймні для організації кіберзлочинців, ще невідомо, чи вдасться DarkSide виконати. Зрештою, лікарні залишаються однією з найбільш ймовірних об’єктів атак-вимагачів.

Інструменти програм-вимагачів

Оператори DarkSide змінюють свій шкідливий набір інструментів, щоб відповідати поточному вибраному цілі. Незважаючи на те, що цей метод вимагає набагато більше зусиль, ніж просто розгортання одного і того ж виконуваного програмного забезпечення-вимагача весь час, він забезпечує більші шанси на успіх. Загроза програмного забезпечення-вимагача видаляє тіньові копії томів у зламаній системі за допомогою команди PowerShell. Після цього зловмисне програмне забезпечення припинить роботу численних баз даних, програм, поштових клієнтів тощо як підготовку до початку процедури шифрування. Однак DarkSide уникає маніпуляцій із таким процесом:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

Включення TeamViewer до цього списку є досить цікавим і може свідчити про те, що суб’єкт загрози покладається на програму для віддаленого доступу до скомпрометованих комп’ютерів.

Відображена записка про викуп також буде спеціально розроблена для поточної вибраної цілі. Примітки зазвичай містять точну кількість даних, зібраних хакерами, їх тип і посилання на віддалений сервер, куди дані були завантажені. Отримана інформація використовується як потужний засіб вимагання. Якщо зламана організація відмовляється задовольнити вимоги DarkSide, дані можуть бути продані конкурентам або просто оприлюднені, що серйозно зашкодить репутації жертви.