DarkSide Ransomware-tilknyttede enheder spores af sikkerhedsforskere

Det nylige cyberangreb på Colonial Pipeline forårsagede stor uro i USA og fik FBI til at involvere sig blandt andre statstjenester og cybersikkerhedsfirmaer. I kølvandet på hændelsen, hvor Colonial og sikkerhedsteamet blev taget om bord af brændstofleverandøren, der stadig krypterede for at genoprette rørledningsoperationer og lade brændstoffet strømme mod østkysten igen, har andre sikkerhedseksperter undersøgt DarkSide og dets tilknyttede dårlige skuespillere.

DarkSide er en trusselsaktør, der normalt lægger ædle lufter og endda donerer nogle af cyber-løsesumspengene, den modtager til velgørenhed. På trods af Robin Hood-kappen, DarkSide vil have på, er gruppens mål alt andet end ædle. DarkSide fungerer ved hjælp af en almindelig metode i den skyggefulde verden af malware, kaldet "ransomware as a service" eller kort sagt RaaS. Under denne model licenserer den øverste enhed, i dette tilfælde DarkSide, sin ransomware-værktøjssæt til tredjeparter.

På denne måde kan en række dårlige skuespillere gøre det tunge løft ved at distribuere ransomware og finde ud af infiltrationspunkter og angribe vektorer. Når offeret er blevet smittet, opdager de tredjeparter, der udførte angrebet, løsepengene med DarkSide, hvis de beslutter at betale op.

Efter almindelig, legitim forretningspraksis ser det ud til, at DarkSide også tager en stadig mindre nedskæring, jo større løsesumudbetalingen er. ZDNet citerer 25% nedskæring i DarkSides lommer med mindre tilknyttede job. Det stykke, som forfatterne til ransomware modtager, falder til kun 10%, hvis løsepengebetalingen overstiger $ 5 millioner.

Ifølge sikkerhedseksperter med FireEye gennemfører DarkSide endda rekrutteringsinterviews, før de er enige om at påtage sig en spirende hacker som licenshaver. Hvis interviewet er en succes, får den håbefulde cyberkriminelle adgang til deres personlige kontrolpanel, som de kan bruge til at tilpasse deres specifikke nyttelast og administrere deres offer- og udbetalingsoplysninger, samt kontakte DarkSide for support med brug af ransomware.

FireEye har identificeret fem separate enheder eller grupper af dårlige skuespillere, som alle synes at være forbundet med DarkSide og meget sandsynligt er ransomware-licenshavere. Tre af grupperne blev undersøgt mere detaljeret og fik kodenavne på henholdsvis UNC2628, UNC2659 og UNC2465.

Den tidligste aktivitet i en af grupperne går tilbage til april sidste år. Hver gruppe bruger lidt forskellige tilgange, når det kommer til infiltration og de udnyttelser og sårbarheder, der bruges til at få adgang til kompromitterede netværk.

UNC2628 er kendt for at misbruge stjålne VPN-legitimationsoplysninger for at få adgang og bruger generelt meget lidt tid på at undersøge rundt på netværket, før det går til kryptering.

UNC2659 misbrugte en aktuelt opdateret sårbarhed i en VPN-tjeneste, der bruges af fjernarbejdere. Denne gruppe ser også ud til at stjæle filer, før den distribuerer ransomware, sandsynligvis yderligere i stand til at true med at lække data online, hvis dens krav ikke er opfyldt.

UNC2465 bruger phishing og en bagdør ved navn Smokedham. I modsætning til de to andre grupper har FireEye data om, at denne særlige gruppe fik adgang til et kompromitteret netværk flere måneder før kryptering startede og implementerede den egentlige ransomware.

Den generelle enighed blandt forskere er, at de grupper, der driver de stadigt udviklende stammer af ransomware, kun vil fortsætte med at forbedre og udvikle deres metoder og værktøjer.