DarkSide勒索软件

DarkSide Ransomware是一种恶意软件，其创建目的是通过拿着PC作为人质，从计算机用户中勒索金钱。 DarkSide Ransomware完成其勒索方案的任务始于对文件进行加密，该过程通常是由于用户打开了恶意垃圾邮件附件而在加载到系统后进行的。

已知DarkSide勒索软件可以加密许多文件，并为它们附加类似的文件扩展名。虽然可以轻松地识别和找到由DarkSide Ransomware加密的每个文件，但由于存在无法破解的加密，因此无法访问或打开它们。因此，想要使系统恢复正常运行的计算机用户将不得不选择支付赎金或寻找其他过程来解决此问题。

人们发现DarkSide是造成关闭殖民地管道的罪魁祸首，该管道被认为是美国最大的燃料管道，负责运送美国东海岸消耗的近一半燃料。官员们目前正在调查这种攻击，它看起来像是勒索软件威胁，攻击控制着管道的系统，这可能会对燃料价格产生负面影响，并对该地区造成巨大的经济影响。

DarkSide想要什么？

自从DarkSide勒索软件活动关闭了Colonial Pipeline之后，自然就可以怀疑攻击背后可能存在政治目的。毕竟， 网络战争的范围只是在最近几年才在增长，如果这是国家资助的攻击，也就不足为奇了。一些研究人员还建议，东欧黑客组织可能在DarkSide Ransomware的后面，因为如果将其语言设置为俄语，乌克兰语和亚美尼亚语，则这种感染不会加密系统。然而，通过他们的网站，DarkSide的开发人员声称破坏燃油系统绝不是他们的目标之一，他们唯一的目标是经济利益。

还应该指出，DarkSide不能直接管理每一个攻击。黑客有许多使用DarkSide Ransomware的会员，这些会员可以选择自己的目标。这些附属公司之一似乎把殖民地管道当作目标。因此，DarkSide声称他们将通过引入明确的目标审查来尝试避免将来的社会后果。这并不是说听起来更有希望，因为这仅意味着黑客将继续感染其他系统。

殖民地究竟发生了什么？

最常见的勒索软件分发方法是垃圾邮件附件。使用DarkSide Ransomware，攻击媒介似乎略有不同。感染一定是利用了COVID-19大流行的情况，那里有成千上万的上班族现在在家中工作。殖民地管道公司的员工也是如此。

当某人在家工作时，他们面临着更多的安全威胁，因为他们的家庭网络很少像办公室网络那样安全。 DarkSide Ransomware使用远程桌面协议应用程序（例如TeamViewer或Microsoft远程桌面）来访问Colonial的系统。他们基本上将属于殖民地雇员的帐户登录详细信息强行输入并进入敏感的内部系统。这也意味着员工不会使用强密码来保护自己的帐户，但这是另一个问题。

无论哪种方式，一旦DarkSide找到了可用于访问系统的薄弱环节，它们就会进入受损的虚拟桌面基础架构（VDI）。然后，通过通过被利用的服务器部署另一个远程桌面协议，确保连接不会中断。如果用于访问目标系统的原始漏洞得到修补，则DarkSide仍将保留系统访问权限。

DarkSide命令和控制。资料来源： Varonis.com

一旦黑客进入系统内部，他们就会使用DarkSide Ransomware对其进行感染。感染分为三个主要阶段。第一个是自我注入，其中恶意软件将其自身副本复制到％AppData％目录中，并使用CMD命令将其代码注入到现有进程中。在此步骤中，如果DarkSide的编程检测到正在虚拟机上运行，则DarkSide可能会停止运行。

如果该恶意软件没有发现对其进程的任何障碍，它将继续运行一个秘密的PowerShell命令，该命令删除受影响计算机上目标数据的所有备份和卷影副本。在大多数勒索软件感染中，这是一种常见的做法。

最后，第三步涉及主要加密，即文件加密。在一切开始之前，DarkSide Ransomware将关闭可能阻碍加密过程的进程列表。所有受影响的文件的名称末尾都会包含一个8个字符的字符串，这表明它们已由DarkSide Ransomware加密。

同样的情况发生在Colonial的系统上，DarkSide成功窃取了将近100GB的数据作为人质。他们威胁通过显示以下赎金通知将其泄漏到互联网上：

您的网络已被锁定！

您现在需要支付$ 2,000,000 ，或者加倍后需要支付$ 4,000,000。

付款后，我们将为您提供适用于所有网络的通用解密器。

黑客团体要求的$ 2,000,000或更多金额，如实际出现在管道控制计算机上的赎金记录图像（如下所示）所示，是令人发指的。

DarkSide Ransomware勒索便笺图像

上面的赎金字样会在受害者的屏幕上弹出。但是，还有另一笔赎金记录以TXT格式的文件放置在目标系统上。它的文件名中通常带有" READ ME"短语。该注释附带有关如何联系DarkSide团队的说明，这是要说的：

------------ [欢迎使用DarkSide] ------------>

发生了什么事？

-------------------------------------------------

您的计算机和服务器已加密，私人数据已下载。我们使用强大的加密算法，因此您无法解密数据。

但是您可以通过从我们这里购买特殊程序-通用解密器来恢复所有内容。该程序将还原您的所有网络。

请按照下面的说明进行操作，您将恢复所有数据。

资料外泄

-------------------------------------------------

首先，我们上传了更多然后_    数据。

您的个人泄漏页面（TOR LINK）：http：// darkside。洋葱/

在页面上，您将找到已下载文件的示例。

数据已预先加载，如果您不付款，将自动在我们的博客中发布。

发布后，任何人都可以下载您的数据，并将其存储在我们的CDN上，并且至少可以使用6个月。

我们准备好了：

-为您提供被盗数据的证据

-删除所有被盗的数据。

有什么保证？

-----------------------------------------------

我们重视我们的声誉。如果我们不做我们的工作和责任，没人会付钱给我们。这不符合我们的利益。

我们所有的解密软件都经过了完美的测试，可以解密您的数据。如有问题，我们还将提供支持。

我们保证免费解密一个文件。转到网站并与我们联系。

如何联系我们？

-----------------------------------------------

使用TOR浏览器：

1）从以下站点下载并安装TOR浏览器：https://torproject.org/

2）打开我们的网站：http：// darkside。洋葱/

不用说，赎金应该由BTC支付，但Colonial并没有争先付款以支付被盗的数据，而是向联邦调查局以及其他政府和私人机构求助，以帮助他们减轻损失。包含加密信息的云计算系统被脱机以包含威胁，这实际上是造成东海岸燃料供应中断的原因。

随着故事的发展，没有宣布实际的赎金付款，我们只能猜测Colonial将为加密数据支付多少费用，或者它是否会支付任何费用。先前的攻击实例表明，DarkSide对年收入数十亿美元的公司不表示同情。但是，可以与他们进行协商，并且协商可以迅速有效，因为DarkSide使用即时聊天与受害者进行交流。

早在2021年1月，另一家美国公司就受到DarkSide Ransomware攻击的打击。网络犯罪分子要求提供3000万美元的赎金，但该公司设法通过谈判获得了1100万美元的赎金，从而将价格降低了近三分之二。

另一方面，除了受加密的数据和双重勒索策略（受害人被迫支付费用）外，DarkSide还可以进行勒索。与受影响的数据一起加密，如果受影响的公司拒绝为数据发布支付费用，该组织还可以窃取该数据并威胁将其泄露。

更重要的是，DarkSide可能还会收集来自各种组织的登录详细信息。他们没有将安全漏洞通知那些组织，而是将收集的信息出售给出价最高的竞标者，从而允许他们进行其他攻击。

常见的勒索软件趋势

这种勒索软件攻击是最新勒索软件趋势的明显例子，在这种趋势下，此类攻击可能在全国范围内造成很大的破坏。勒索软件攻击始终以企业而不是个人用户为目标，但是现在很容易看到重要的工业基础架构也可能受到它的影响。即使DarkSide Ransomware不像WannaCry那样臭名昭著，它也给全球的网络安全专家带来了更多困惑。

DarkSide勒索软件还显示当前最杰出的勒索软件业务模型，主要开发商（在本例中为DarkSide）创建恶意软件，然后将其出售或出租给其"关联公司"。到目前为止，安全研究人员已经确定了至少五个与DarkSide勒索软件攻击相关的关联公司。

为了成为DarkSide的"会员"，潜在的合作伙伴必须首先通过面试。已通过面试并与DarkSide合作的某些小组由分配的代号来标识。 FireEye的研究人员指出其中一些小组为UNC2628，UNC2659和UNC2465。

UNC2465自2019年4月以来一直处于活动状态。该组使用网络钓鱼电子邮件将DarkSide传递给其潜在受害者。该小组还使用Smokedham后门访问目标系统。 UNC2659和UN2628是相对较新的组，自2021年初以来一直活跃。UNC2628倾向于在渗透后的两到三天内进行加密，并且还相信该组也曾经与REvil一起使用。 UNC2628在感染后平均大约需要十天才能进行文件加密，并且通过利用TeamViewer软件在受影响的计算机上保持持久性。

不考虑不同的渗透和加密模式，当会员感染预定的目标时，主要的黑客团队将获得会员收入的一定百分比。根据各种报告，如果关联公司收到的赎金少于500,000美元，Dark Side将从所收取的赎金中削减25％。如果合作伙伴收取的税款超过$ 5ml，则佣金减少到收入的10％。该业务模型称为勒索软件即服务。

为了使自己对潜在客户更具吸引力，DarkSide在其网站上进行了竞争性的市场营销活动。即使勒索软件于2020年8月首次发布，该新产品也是通过"新闻稿"发布的，因此该组织非常热衷并渴望自我推广。

该团队表示，尽管他们展示了一种新产品，但它们绝对不是勒索软件领域的新手。他们还表明自己具有诚信，因为他们表示自己不会攻击医疗保健，fun仪服务，教育，非营利组织和政府机构。再次，这支持了前面提到的声称DarkSide并不打算通过对Colonial的攻击而引起社会破坏的说法。

广告中也不会忘记潜在的受害者。 DarkSide说，可以保证受害者获得一个测试文件的解密，并且一旦赎金付款被转移，所有文件的解密密钥都会被发放。他们还承诺从服务器中删除上传的文件。

DarkSide勒索软件广告。资料来源： KrebsOnSecurity.com

尽管安全专家不能百分百确定这一点，但据信DarkSide团队的某些成员是另一种名为REvil的勒索软件感染的幕后黑手。反过来，REvil被认为是GandCrab的另一个名字.GandCrab是另一种勒索软件即服务，在2019年关闭其商店之前，从受害者手中勒索了超过20亿美元。

这种全面的威胁需要多方面的解决方案。使用强大的反恶意软件程序只是与危险的黑客组织进行这场斗争的一个垫脚石。对员工进行有关潜在安全威胁和重要网络安全实践的教育也很重要。如果员工管理敏感信息，则他们在访问组织的系统时必须使用强密码和安全的网络配置。否则，对于DarkSide Ransomware之类的东西，再进行一次攻击将太容易了。

显而易见，勒索软件无处不在，这种攻击不仅对企业而且对国家安全都成为紧迫的问题。从2020年第二季度到第三季度，平均勒索软件付款增长了31％。仅在2020年，仅美国就有2400多个政府机构，医疗机构和学校受到勒索软件攻击的影响。

在DarkSide案中，他们说上述机构不是主要目标，但是攻击变得越来越难避免，而且这种紧急情况也得到了网络安全和基础架构安全局（CISA）的认可。该机构于2021年5月11日发布了一系列建议，以" 防止企业分发受到勒索软件攻击" 。建议列表包括（但不限于）：

• 采用多因素身份验证
• 使用垃圾邮件过滤器来避免网络钓鱼攻击
• 鼓励用户/员工培训以帮助防止网络攻击
• 过滤网络流量
• 定期软件更新
• 定期数据备份

各种新闻媒体报道说，Colonial确实支付了将近500万美元的赎金。该公司上周五（5月7日）遭到DarkSide Ransomware的袭击，据报道，仅在攻击发生几小时后就以加密货币支付了赎金。显然，该公司支付了赎金以恢复被盗的数据，但是这种迅速的支付也引起了对未来勒索软件攻击的担忧。它鼓励犯罪分子继续针对那些财大气粗，更可能支付赎金的知名公司和其他企业。

此外，尽管DarkSide提供了解密工具来还原加密的数据，但Colonial仍必须使用自己的备份来还原其网络，因为据说该工具太慢了。当解密工具必须解密数百GB的数据时，很有可能会有其局限性。

DarkSide勒索软件 截图