DarkSide APT

DarkSide APT là một tác nhân đe dọa tội phạm mạng được mô phỏng theo xu hướng Ransomware-as-a-Corporation (RaaC). Nhóm chuyên triển khai các cuộc tấn công ransomware chống lại các mục tiêu được lựa chọn cụ thể. Một số nhà nghiên cứu infosec đã ước tính rằng DarkSide đã tống tiền được tổng cộng 1 triệu đô la từ các nạn nhân của nó.

Các chiến thuật, kỹ thuật và quy trình (TTPS) chung của DarkSide cho thấy sự tương đồng lớn và trong nhiều trường hợp, trùng lặp với các phương pháp được thấy trong các chiến dịch tấn công từ các APT khác như Sodinokibi , DoppelPaymer, Maze và NetWalker . Tuy nhiên, điều khiến DarkSide trở nên khác biệt là cách tiếp cận được nhắm mục tiêu cao của nhóm khi lựa chọn nạn nhân, việc tạo ra các tệp thực thi ransomware tùy chỉnh cho từng tổ chức được nhắm mục tiêu và các đặc điểm giống như công ty mà họ đã áp dụng.

Thông cáo báo chí chính thức về tính hợp pháp được bổ sung

DarkSide đã thông báo về việc bắt đầu hoạt động ransomware của họ thông qua một thông cáo báo chí được công bố trên trang web Tor của họ. Mặc dù đây không phải là lần đầu tiên những kẻ đe dọa dựa vào thông cáo báo chí như một kênh thông tin liên lạc, nhưng nó vẫn là một điều hiếm khi xảy ra. Tuy nhiên, thông cáo báo chí có một số lợi thế - chúng cho phép tội phạm mạng thể hiện hình ảnh của một tổ chức chuyên nghiệp có thể được tin cậy để duy trì kết thúc của bất kỳ cuộc đàm phán nào đồng thời thu hút sự chú ý của giới truyền thông lớn hơn, có thể được sử dụng như đòn bẩy chống lại bất kỳ tổ chức vi phạm nào. Rốt cuộc, hầu hết các APT ransomware đã bắt đầu thu thập dữ liệu riêng tư trước khi khóa các tệp trên máy bị nhiễm. Sau đó, thông tin được lọc ra sẽ được vũ khí hóa và sự tham gia của các phương tiện truyền thông có thể đồng nghĩa với việc thiệt hại về uy tín thậm chí còn lớn hơn đối với công ty bị ảnh hưởng.

Tin tặc với Mã đạo đức?

Trong thông cáo báo chí của mình, các tin tặc DarkSide đã phác thảo một số khía cạnh về hoạt động trong tương lai của chúng. Rõ ràng, tội phạm mạng sẽ hạn chế thực hiện bất kỳ cuộc tấn công nào nhằm vào các khu vực quan trọng hoặc dễ bị tổn thương như bệnh viện, trường học và thậm chí cả các tổ chức chính phủ. Trên hết, nhóm APT làm rõ rằng họ có ý định theo đuổi các mục tiêu dựa trên doanh thu tài chính của đơn vị đó, ngụ ý rằng họ sẽ tránh các công ty đang gặp khó khăn về tài chính. Trong khi đây là một số ý định thực sự cao cả, ít nhất là đối với một tổ chức tội phạm mạng, vẫn còn phải xem liệu DarkSide có quản lý để làm theo hay không. Rốt cuộc, các bệnh viện vẫn là một trong những mục tiêu có khả năng xảy ra nhất của các cuộc tấn công bằng mã độc tống tiền (ransomware).

Công cụ ransomware

Các nhà khai thác DarkSide sửa đổi bộ công cụ độc hại của họ để phù hợp với mục tiêu hiện được chọn. Mặc dù phương pháp này đòi hỏi nhiều nỗ lực hơn là chỉ đơn giản triển khai cùng một tệp thực thi ransomware mọi lúc, nhưng nó đảm bảo cơ hội thành công cao hơn. Mối đe dọa ransomware sẽ xóa các Bản sao Khối lượng Bóng tối trên hệ thống bị xâm nhập thông qua lệnh PowerShell. Sau đó, phần mềm độc hại sẽ chấm dứt nhiều cơ sở dữ liệu, ứng dụng, ứng dụng thư khách, v.v. để chuẩn bị cho việc bắt đầu quy trình mã hóa của nó. Tuy nhiên, DarkSide tránh can thiệp vào quy trình sau:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

Việc đưa TeamViewer vào danh sách đó khá kỳ lạ và có thể gợi ý rằng tác nhân đe dọa dựa vào ứng dụng để truy cập từ xa vào các máy tính bị xâm phạm.

Ghi chú tiền chuộc được hiển thị cũng sẽ được điều chỉnh cho mục tiêu hiện được chọn. Các ghi chú thường bao gồm lượng dữ liệu chính xác được tin tặc thu thập, loại dữ liệu và liên kết đến máy chủ từ xa nơi dữ liệu được tải lên. Thông tin thu được được sử dụng như một công cụ tống tiền mạnh mẽ. Nếu tổ chức vi phạm từ chối đáp ứng các yêu cầu của DarkSide, dữ liệu có thể bị bán cho các đối thủ cạnh tranh hoặc đơn giản là được tung ra công chúng và gây tổn hại nghiêm trọng đến danh tiếng của nạn nhân.