Entités affiliées de DarkSide Ransomware tracées par des chercheurs en sécurité

La récente cyberattaque contre Colonial Pipeline a provoqué une grande agitation aux États-Unis et a incité le FBI à s'impliquer, entre autres services de l'État et sociétés de cybersécurité. Au lendemain de l'incident, alors que Colonial et l'équipe de sécurité embarqués par le fournisseur de carburant se démènent toujours pour rétablir les opérations du pipeline et laisser le carburant s'écouler à nouveau vers la côte est, d'autres experts en sécurité ont examiné DarkSide et ses entités de mauvais acteurs affiliées.

DarkSide est un acteur menaçant qui prend généralement des airs nobles et fait même don d'une partie de l'argent de la cyber-rançon qu'il reçoit à des œuvres caritatives. Malgré la cape Robin Hood que DarkSide veut porter, les objectifs du groupe sont tout sauf nobles. DarkSide fonctionne en utilisant une méthode courante dans le monde ombragé des malwares, appelée «ransomware as a service» ou RaaS en abrégé. Dans le cadre de ce modèle, l'entité de niveau supérieur, dans ce cas DarkSide, octroie des licences à sa boîte à outils de ransomware à des tiers.

De cette façon, un certain nombre de mauvais acteurs peuvent faire le gros du travail de distribution du ransomware et de déterminer les points d'infiltration et les vecteurs d'attaque. Une fois que la victime a été infectée, si elle décide de payer, les tiers qui ont mené l'attaque ont partagé l'argent de la rançon avec DarkSide.

Suite à des pratiques commerciales courantes et légitimes, il semble que DarkSide prenne également une part de plus en plus réduite, plus le paiement de la rançon est important. ZDNet cite une réduction de 25% dans les poches de DarkSide avec des emplois d'affiliation plus petits. La part que reçoivent les auteurs de ransomwares diminue à seulement 10% au cas où le paiement de la rançon dépasse 5 millions de dollars.

Selon les experts en sécurité de FireEye, DarkSide mène même des entretiens de recrutement avant d'accepter d'embaucher un pirate en herbe en tant que titulaire de licence. Si l'entretien est un succès, le cybercriminel en herbe a accès à son panneau de contrôle personnel qu'il peut utiliser pour personnaliser sa charge utile spécifique et gérer ses informations de victime et de paiement, ainsi que contacter DarkSide pour obtenir de l'aide sur l'utilisation du ransomware.

FireEye a identifié cinq entités distinctes ou groupes de mauvais acteurs qui semblent tous être liés à DarkSide et sont très probablement des titulaires de licence de ransomware. Trois des groupes ont été examinés plus en détail et ont reçu les noms de code UNC2628, UNC2659 et UNC2465, respectivement.

La première activité de l'un des groupes remonte à avril de l'année dernière. Chaque groupe utilise des approches légèrement différentes en ce qui concerne l'infiltration et les exploits et vulnérabilités utilisés pour accéder aux réseaux compromis.

UNC2628 est connu pour avoir abusé des informations d'identification VPN volées pour accéder, et passe généralement très peu de temps à sonder le réseau avant de passer au cryptage.

UNC2659 a abusé d'une vulnérabilité actuellement corrigée dans un service VPN utilisé par des travailleurs distants. Ce groupe semble également voler des fichiers avant de déployer le ransomware, susceptible de menacer davantage de divulguer les données en ligne si ses demandes ne sont pas satisfaites.

UNC2465 utilise le phishing et une porte dérobée nommée Smokedham. Contrairement aux deux autres groupes, FireEye dispose de données indiquant que ce groupe particulier a eu accès à un réseau compromis plusieurs mois avant le démarrage du chiffrement et le déploiement du ransomware réel.

Le consensus général parmi les chercheurs est que les groupes exploitant les souches en constante évolution de ransomwares ne feront que continuer à améliorer et à faire évoluer leurs méthodes et outils.

May 12, 2021
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.