DarkSide Ransomware társult entitások, amelyeket a biztonsági kutatók nyomon követnek

A Colonial Pipeline elleni legutóbbi kibertámadás komoly zűrzavart váltott ki az Egyesült Államokban, és az FBI részvételét késztette más állami szolgálatok és kiberbiztonsági társaságok között. Az eset következtében a Colonial és az üzemanyag-beszállító által felvett biztonsági csapat továbbra is a csővezeték működésének helyreállítását és az üzemanyag keleti part felé történő áramlását hagyta más biztonsági szakértők megvizsgálni a DarkSide-ot és a hozzá kapcsolódó rossz színészi entitásokat.

A DarkSide egy olyan fenyegető színész, aki általában nemes levegőre kel, és a kapott kiber váltságdíjakból is jótékonysági célokra ajánlja fel. Annak ellenére, hogy a DarkSide a Robin Hood köpenyt viselni akarja, a csoport célja minden, csak nemes. A DarkSide a rosszindulatú programok árnyékos világában közös módszerrel működik, amelyet "ransomware as a service" -nek vagy röviden RaaS-nak hívnak. Ebben a modellben a legfelső szintű entitás, ebben az esetben a DarkSide licenceli ki a ransomware eszközkészletét harmadik feleknek.

Ily módon számos rossz színész képes megtenni a ransomware terjesztését, kiszűrni a beszivárgási pontokat és a támadási vektorokat. Ha az áldozat megfertőződött, és ha úgy dönt, hogy fizet, a támadást végrehajtó harmadik felek megosztották a váltságdíjat a DarkSide-szel.

Az általános, törvényes üzleti gyakorlatot követve úgy tűnik, hogy a DarkSide is egyre kisebb vágást végez, minél nagyobb a váltságdíj kifizetése. A ZDNet 25% -os csökkentést említ a DarkSide zsebében kisebb társult munkákkal. A váltságdíjat szerzők által kapott szelet mindössze 10% -ra csökken, ha a váltságdíj kifizetése meghaladja az 5 millió dollárt.

A FireEye biztonsági szakértői szerint a DarkSide még toborzási interjúkat is készít, mielőtt beleegyeznének egy kezdő hacker licencbe vételébe. Ha az interjú sikeres, a vágyakozó számítógépes bűnöző hozzáférést kap személyes vezérlőpaneljéhez, amelyet felhasználva testreszabhatja saját hasznos terhelését, kezelheti áldozatainak és kifizetési adatait, valamint kapcsolatba léphet a DarkSide-nel a ransomware használatához.

A FireEye öt különálló entitást vagy rossz szereplők csoportját azonosította, amelyek mind a DarkSide-hez kapcsolódnak, és nagy valószínűséggel ransomware-licencesek. A csoportok közül hármat részletesebben megvizsgáltak, és megadták az UNC2628, az UNC2659 és az UNC2465 kódneveket.

Az egyik csoport legkorábbi tevékenysége tavaly áprilisra nyúlik vissza. Minden csoport kissé eltérő megközelítéseket alkalmaz a beszivárgás, valamint a veszélyeztetett hálózatokhoz való hozzáféréshez használt kihasználások és sebezhetőségek tekintetében.

Az UNC2628 arról ismert, hogy az ellopott VPN-hitelesítő adatokkal visszaél a hozzáférés érdekében, és általában nagyon kevés időt tölt a hálózaton, mielőtt titkosításra kerülne.

Az UNC2659 visszaélt a távoli dolgozók által használt VPN-szolgáltatás jelenleg javított sebezhetőségével. Úgy tűnik, hogy ez a csoport fájlokat is lop, mielőtt a ransomware-t telepíti, és valószínűleg tovább fenyegetheti az adatok online kiszivárogtatását, ha igényei nem teljesülnek.

Az UNC2465 adathalászatot és egy Smokedham nevű hátsó ajtót használ. A másik két csoporttal ellentétben a FireEye-nek vannak olyan adatai, amelyek szerint ez a csoport már több hónappal a titkosítás megkezdése és a tényleges ransomware telepítése előtt hozzáférhetett egy veszélyeztetett hálózathoz.

A kutatók általános egyetértése az, hogy a ransomware folyamatosan fejlődő törzseit működtető csoportok csak tovább javítják és fejlesztik módszereiket és eszközeiket.