DarkSide APT

DarkSide APT說明

DarkSide APT是模仿企業勒索軟件(RaaC)趨勢的網絡犯罪威脅參與者。該小組專門針對特定選擇的目標部署勒索軟件攻擊。一些信息安全研究人員估計,DarkSide設法從受害者中勒索了總計100萬美元。

DarkSide的一般戰術,技術和程序(TTPS)表現出極大的相似性,並且在許多情況下與SodinokibiDoppelPaymer, MazeNetWalker等其他APT的攻擊活動中看到的方法重疊。但是,使DarkSide與眾不同的是,該組織在選擇受害者時採用了針對性強的方法,為每個目標組織創建了定制的勒索軟件可執行文件,並採用了類似公司的特徵。

官方新聞稿,增強合法性

DarkSide通過其Tor網站上發布的新聞稿宣布了勒索軟件運營的開始。儘管這不是威脅行為者第一次依靠新聞稿作為溝通渠道,但這仍然是罕見的。但是,新聞稿確實具有一些優勢-它們使網絡罪犯可以投射出一個專業實體的形象,該形象可以被信任來維持任何談判的結束,同時吸引更大的媒體關注度,可以用作對付任何違規組織的槓桿。畢竟,大多數勒索軟件APT都已開始收集私有數據,然後再將文件鎖定在受感染的計算機上。然後,被竊取的信息將被武器化,媒體的介入可能對受影響的公司造成更大的聲譽損失。

擁有道德準則的黑客?

在他們的新聞稿中,DarkSide黑客概述了其未來運營的幾個方面。顯然,網絡罪犯會放棄對醫院,學校甚至政府實體等關鍵或脆弱部門的任何攻擊。最重要的是,APT小組澄清說,他們打算根據該實體的財務收入來追求目標,這意味著他們將避開那些已經陷入財務困境的公司。儘管這是一些真正的崇高意圖,至少對於網絡犯罪組織而言,但DarkSide是否能夠成功實現仍有待觀察。畢竟,醫院仍然是勒索軟件攻擊的最有可能的目標之一。

勒索軟件工具

DarkSide操作員修改其惡意工具包以匹配當前選定的目標。儘管與始終簡單地部署相同的勒索軟件可執行文件相比,此方法需要付出更多的努力,但它可以確保更大的成功機會。勒索軟件威脅通過PowerShell命令刪除了受感染系統上的捲影副本。之後,該惡意軟件將終止眾多數據庫,應用程序,郵件客戶端等,以作為啟動其加密例程的準備。但是,DarkSide避免篡改以下過程:

  • Vmcompute.exe
  • 虛擬機
  • 病毒程序
  • Svchost.exe
  • TeamViewer.exe
  • 資源管理器

將TeamViewer包含在該列表中非常奇怪,並且可能表明威脅參與者依賴於該應用程序來遠程訪問受感染計算機。

所顯示的贖金記錄也將針對當前選擇的目標量身定制。這些註釋通常包括黑客收集的確切數據量,其類型以及指向上傳數據的遠程服務器的鏈接。所獲取的信息用作有效的勒索工具。如果遭到破壞的組織拒絕滿足DarkSide的要求,則數據可以出售給競爭對手,也可以簡單地向公眾發布,從而嚴重損害受害者的聲譽。