DarkSide APT

DarkSide APT说明

DarkSide APT是模仿企业勒索软件(RaaC)趋势的网络犯罪威胁参与者。该小组专门针对特定选择的目标部署勒索软件攻击。一些信息安全研究人员估计,DarkSide设法从受害者中勒索了总计100万美元。

DarkSide的一般战术,技术和程序(TTPS)表现出极大的相似性,并且在许多情况下与SodinokibiDoppelPaymer, MazeNetWalker等其他APT的攻击活动中看到的方法重叠。但是,使DarkSide与众不同的是,该组织在选择受害者时采用了针对性强的方法,为每个目标组织创建了定制的勒索软件可执行文件,并采用了类似公司的特征。

官方新闻稿,增强合法性

DarkSide通过其Tor网站上发布的新闻稿宣布了勒索软件运营的开始。尽管这不是威胁行为者第一次依靠新闻稿作为沟通渠道,但这仍然是罕见的。但是,新闻稿确实具有一些优势-它们使网络罪犯可以投射出一个专业实体的形象,该形象可以被信任来维持任何谈判的结束,同时吸引更大的媒体关注度,可以用作对付任何违规组织的杠杆。毕竟,大多数勒索软件APT都已开始收集私有数据,然后再将文件锁定在受感染的计算机上。然后,被窃取的信息将被武器化,媒体的介入可能对受影响的公司造成更大的声誉损失。

拥有道德准则的黑客?

在他们的新闻稿中,DarkSide黑客概述了其未来运营的几个方面。显然,网络罪犯会放弃对医院,学校甚至政府实体等关键或脆弱部门的任何攻击。最重要的是,APT小组澄清说,他们打算根据该实体的财务收入来追求目标,这意味着他们将避开那些已经陷入财务困境的公司。尽管这是一些真正的崇高意图,至少对于网络犯罪组织而言,但DarkSide是否能够成功实现仍有待观察。毕竟,医院仍然是勒索软件攻击的最有可能的目标之一。

勒索软件工具

DarkSide操作员修改其恶意工具包以匹配当前选择的目标。尽管与始终简单地部署相同的勒索软件可执行文件相比,此方法需要付出更多的努力,但它可以确保更大的成功机会。勒索软件威胁通过PowerShell命令删除了受感染系统上的卷影副本。之后,该恶意软件将终止众多数据库,应用程序,邮件客户端等,以作为启动其加密例程的准备。但是,DarkSide避免篡改以下过程:

  • Vmcompute.exe
  • 虚拟机
  • 病毒程序
  • Svchost.exe
  • TeamViewer.exe
  • 资源管理器

将TeamViewer包含在该列表中非常奇怪,并且可能表明威胁参与者依赖于该应用程序来远程访问受感染计算机。

所显示的赎金记录也将针对当前选择的目标量身定制。这些注释通常包括黑客收集的确切数据量,其类型以及指向上传数据的远程服务器的链接。所获取的信息用作有效的勒索工具。如果遭到破坏的组织拒绝满足DarkSide的要求,则数据可以出售给竞争对手,也可以简单地向公众发布,从而严重损害受害者的声誉。