Ενότητες θυγατρικών DarkSide Ransomware που εντοπίζονται από ερευνητές ασφάλειας

Η πρόσφατη επίθεση στον κυβερνοχώρο στο Colonial Pipeline προκάλεσε μεγάλη αναταραχή στις Ηνωμένες Πολιτείες και προκάλεσε τη συμμετοχή του FBI, μεταξύ άλλων κρατικών υπηρεσιών και εταιρειών ασφάλειας στον κυβερνοχώρο. Μετά το συμβάν, με την Colonial και την ομάδα ασφαλείας που επιβιβάστηκε από τον προμηθευτή καυσίμων να προσπαθεί να αποκαταστήσει τις εργασίες του αγωγού και να αφήσει το καύσιμο να ρέει προς την ανατολική ακτή και πάλι, άλλοι εμπειρογνώμονες ασφαλείας εξέτασαν το DarkSide και τις θυγατρικές του κακές εταιρείες

Το DarkSide είναι ένας ηθοποιός απειλής που συνήθως ανεβαίνει ευγενικά και μάλιστα δωρίζει μερικά από τα χρήματα λύτρων στον κυβερνοχώρο που λαμβάνει για φιλανθρωπικούς σκοπούς. Παρά το που θέλει να φορέσει το ακρωτήριο Robin Hood, η DarkSide θέλει να φορέσει, οι στόχοι της ομάδας είναι τίποτα άλλο παρά ευγενές. Το DarkSide λειτουργεί χρησιμοποιώντας μια κοινή μέθοδο στον σκιερό κόσμο του κακόβουλου λογισμικού, που ονομάζεται "ransomware ως υπηρεσία" ή RaaS για συντομία. Σύμφωνα με αυτό το μοντέλο, η οντότητα ανώτερου επιπέδου, στην περίπτωση αυτή DarkSide, παραχωρεί άδεια χρήσης της εργαλειοθήκης ransomware σε τρίτους.

Με αυτόν τον τρόπο, αρκετοί κακοί ηθοποιοί μπορούν να κάνουν τη βαριά άρση της διανομής του ransomware και να καταλάβουν σημεία διείσδυσης και διανύσματα επίθεσης. Μόλις το θύμα μολυνθεί, εάν αποφασίσει να πληρώσει, τα τρίτα μέρη που πραγματοποίησαν την επίθεση χώρισαν τα χρήματα των λύτρων με το DarkSide.

Ακολουθώντας κοινές, νόμιμες επιχειρηματικές πρακτικές, φαίνεται ότι το DarkSide παίρνει επίσης μια ολοένα και μικρότερη περικοπή όσο μεγαλύτερη είναι η πληρωμή των λύτρων. Το ZDNet αναφέρει μείωση 25% στις τσέπες του DarkSide με μικρότερες συνεργασίες. Το κομμάτι που λαμβάνουν οι συγγραφείς ransomware μειώνεται σε μόλις 10% σε περίπτωση που η πληρωμή λύτρων υπερβαίνει τα 5 εκατομμύρια $.

Σύμφωνα με ειδικούς ασφαλείας της FireEye, το DarkSide πραγματοποιεί ακόμη και συνεντεύξεις πρόσληψης προτού συμφωνήσει να αναλάβει έναν εκκολαπτόμενο χάκερ ως κάτοχο άδειας. Εάν η συνέντευξη είναι επιτυχής, ο επίδοξος εγκληματίας στον κυβερνοχώρο έχει πρόσβαση στον προσωπικό πίνακα ελέγχου που μπορούν να χρησιμοποιήσουν για να προσαρμόσουν το συγκεκριμένο ωφέλιμο φορτίο τους και να διαχειριστούν τις πληροφορίες των θυμάτων και των πληρωμών τους, καθώς και να επικοινωνήσουν με το DarkSide για υποστήριξη σχετικά με τη χρήση του ransomware.

Το FireEye έχει εντοπίσει πέντε ξεχωριστές οντότητες ή ομάδες κακών ηθοποιών που όλοι φαίνεται να συνδέονται με το DarkSide και είναι πολύ πιθανό οι κάτοχοι άδειας ransomware. Τρεις από τις ομάδες εξετάστηκαν λεπτομερέστερα και δόθηκαν οι κωδικοί ονομασίες UNC2628, UNC2659 και UNC2465, αντίστοιχα.

Η πρώτη δραστηριότητα μιας από τις ομάδες χρονολογείται από τον Απρίλιο του περασμένου έτους. Κάθε ομάδα χρησιμοποιεί ελαφρώς διαφορετικές προσεγγίσεις όσον αφορά τη διείσδυση και τα εκμεταλλεύσεις και τα τρωτά σημεία που χρησιμοποιούνται για να αποκτήσουν πρόσβαση σε παραβιασμένα δίκτυα.

Το UNC2628 είναι γνωστό για την κατάχρηση κλεμμένων διαπιστευτηρίων VPN για να αποκτήσει πρόσβαση και γενικά αφιερώνει πολύ λίγο χρόνο στο δίκτυο πριν μετακινηθεί στην κρυπτογράφηση.

Το UNC2659 κακοποίησε μια ευπάθεια που έχει επιδιορθωθεί επί του παρόντος σε μια υπηρεσία VPN που χρησιμοποιείται από απομακρυσμένους εργαζόμενους. Αυτή η ομάδα φαίνεται επίσης να κλέβει αρχεία πριν αναπτύξει το ransomware, πιθανότατα να είναι σε θέση να απειλήσει περαιτέρω τη διαρροή των δεδομένων στο διαδίκτυο εάν δεν ικανοποιηθούν οι απαιτήσεις της.

Το UNC2465 χρησιμοποιεί ηλεκτρονικό ψάρεμα και μια πίσω πόρτα με το όνομα Smokedham. Σε αντίθεση με τις άλλες δύο ομάδες, το FireEye έχει δεδομένα ότι η συγκεκριμένη ομάδα απέκτησε πρόσβαση σε ένα συμβιβασμένο δίκτυο αρκετούς μήνες πριν από την έναρξη της κρυπτογράφησης και την ανάπτυξη του πραγματικού ransomware.

Η γενική συναίνεση μεταξύ των ερευνητών είναι ότι οι ομάδες που χρησιμοποιούν τα συνεχώς εξελισσόμενα στελέχη του ransomware θα συνεχίσουν να βελτιώνουν και να εξελίσσουν μόνο τις μεθόδους και τα εργαλεία τους.