DarkSide Ransomware társult entitások, amelyeket a biztonsági kutatók nyomon követnek

A Colonial Pipeline elleni legutóbbi kibertámadás komoly zűrzavart váltott ki az Egyesült Államokban, és az FBI részvételét késztette más állami szolgálatok és kiberbiztonsági társaságok között. Az eset következtében a Colonial és az üzemanyag-beszállító által felvett biztonsági csapat továbbra is a csővezeték működésének helyreállítását és az üzemanyag keleti part felé történő áramlását hagyta más biztonsági szakértők megvizsgálni a DarkSide-ot és a hozzá kapcsolódó rossz színészi entitásokat.

A DarkSide egy olyan fenyegető színész, aki általában nemes levegőre kel, és a kapott kiber váltságdíjakból is jótékonysági célokra ajánlja fel. Annak ellenére, hogy a DarkSide a Robin Hood köpenyt viselni akarja, a csoport célja minden, csak nemes. A DarkSide a rosszindulatú programok árnyékos világában közös módszerrel működik, amelyet "ransomware as a service" -nek vagy röviden RaaS-nak hívnak. Ebben a modellben a legfelső szintű entitás, ebben az esetben a DarkSide licenceli ki a ransomware eszközkészletét harmadik feleknek.

Ily módon számos rossz színész képes megtenni a ransomware terjesztését, kiszűrni a beszivárgási pontokat és a támadási vektorokat. Ha az áldozat megfertőződött, és ha úgy dönt, hogy fizet, a támadást végrehajtó harmadik felek megosztották a váltságdíjat a DarkSide-szel.

Az általános, törvényes üzleti gyakorlatot követve úgy tűnik, hogy a DarkSide is egyre kisebb vágást végez, minél nagyobb a váltságdíj kifizetése. A ZDNet 25% -os csökkentést említ a DarkSide zsebében kisebb társult munkákkal. A váltságdíjat szerzők által kapott szelet mindössze 10% -ra csökken, ha a váltságdíj kifizetése meghaladja az 5 millió dollárt.

A FireEye biztonsági szakértői szerint a DarkSide még toborzási interjúkat is készít, mielőtt beleegyeznének egy kezdő hacker licencbe vételébe. Ha az interjú sikeres, a vágyakozó számítógépes bűnöző hozzáférést kap személyes vezérlőpaneljéhez, amelyet felhasználva testreszabhatja saját hasznos terhelését, kezelheti áldozatainak és kifizetési adatait, valamint kapcsolatba léphet a DarkSide-nel a ransomware használatához.

A FireEye öt különálló entitást vagy rossz szereplők csoportját azonosította, amelyek mind a DarkSide-hez kapcsolódnak, és nagy valószínűséggel ransomware-licencesek. A csoportok közül hármat részletesebben megvizsgáltak, és megadták az UNC2628, az UNC2659 és az UNC2465 kódneveket.

Az egyik csoport legkorábbi tevékenysége tavaly áprilisra nyúlik vissza. Minden csoport kissé eltérő megközelítéseket alkalmaz a beszivárgás, valamint a veszélyeztetett hálózatokhoz való hozzáféréshez használt kihasználások és sebezhetőségek tekintetében.

Az UNC2628 arról ismert, hogy az ellopott VPN-hitelesítő adatokkal visszaél a hozzáférés érdekében, és általában nagyon kevés időt tölt a hálózaton, mielőtt titkosításra kerülne.

Az UNC2659 visszaélt a távoli dolgozók által használt VPN-szolgáltatás jelenleg javított sebezhetőségével. Úgy tűnik, hogy ez a csoport fájlokat is lop, mielőtt a ransomware-t telepíti, és valószínűleg tovább fenyegetheti az adatok online kiszivárogtatását, ha igényei nem teljesülnek.

Az UNC2465 adathalászatot és egy Smokedham nevű hátsó ajtót használ. A másik két csoporttal ellentétben a FireEye-nek vannak olyan adatai, amelyek szerint ez a csoport már több hónappal a titkosítás megkezdése és a tényleges ransomware telepítése előtt hozzáférhetett egy veszélyeztetett hálózathoz.

A kutatók általános egyetértése az, hogy a ransomware folyamatosan fejlődő törzseit működtető csoportok csak tovább javítják és fejlesztik módszereiket és eszközeiket.

May 12, 2021
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.