Entità affiliate DarkSide Ransomware tracciate da ricercatori sulla sicurezza

Il recente attacco informatico al Colonial Pipeline ha causato grande scompiglio negli Stati Uniti e ha spinto il coinvolgimento dell'FBI, tra gli altri servizi statali e le società di sicurezza informatica. All'indomani dell'incidente, con Colonial e il team di sicurezza presi a bordo dal fornitore di carburante ancora impegnati a ripristinare le operazioni del gasdotto e lasciare che il carburante fluisca nuovamente verso la costa orientale, altri esperti di sicurezza hanno esaminato DarkSide e le sue entità cattive affiliate.

DarkSide è un attore di minacce che di solito assume arie nobili e dona anche parte del denaro del riscatto informatico che riceve in beneficenza. Nonostante il mantello di Robin Hood che DarkSide vuole indossare, gli obiettivi del gruppo sono tutt'altro che nobili. DarkSide funziona utilizzando un metodo comune nell'oscuro mondo del malware, chiamato "ransomware as a service" o RaaS in breve. In base a questo modello, l'entità di primo livello, in questo caso DarkSide, concede in licenza il suo toolkit ransomware a terze parti.

In questo modo un certo numero di malintenzionati può fare il lavoro pesante di distribuire il ransomware e capire i punti di infiltrazione e i vettori di attacco. Una volta che la vittima è stata infettata, se decidono di pagare, le terze parti che hanno effettuato l'attacco dividono il riscatto con DarkSide.

Seguendo pratiche commerciali comuni e legittime, sembra che anche DarkSide prenda un taglio sempre più piccolo maggiore è il pagamento del riscatto. ZDNet cita un taglio del 25% nelle tasche di DarkSide con lavori di affiliazione più piccoli. La fetta che gli autori di ransomware ricevono diminuisce a solo il 10% nel caso in cui il pagamento del riscatto superi i 5 milioni di dollari.

Secondo gli esperti di sicurezza di FireEye, DarkSide effettua persino colloqui di reclutamento prima di accettare di assumere un hacker in erba come licenziatario. Se il colloquio ha esito positivo, all'aspirante criminale informatico viene concesso l'accesso al proprio pannello di controllo personale che può utilizzare per personalizzare il proprio carico utile specifico e gestire le informazioni sulla vittima e sui pagamenti, nonché contattare DarkSide per il supporto nell'utilizzo del ransomware.

FireEye ha identificato cinque entità separate o gruppi di cattivi attori che sembrano tutti essere collegati a DarkSide e sono molto probabilmente licenziatari di ransomware. Tre dei gruppi sono stati esaminati in modo più dettagliato e sono stati dati i nomi in codice di UNC2628, UNC2659 e UNC2465, rispettivamente.

La prima attività di uno dei gruppi risale all'aprile dello scorso anno. Ogni gruppo utilizza approcci leggermente diversi quando si tratta di infiltrazione e di exploit e vulnerabilità utilizzati per ottenere l'accesso a reti compromesse.

UNC2628 è noto per aver abusato delle credenziali VPN rubate per ottenere l'accesso e generalmente trascorre pochissimo tempo a sondare la rete prima che passi alla crittografia.

UNC2659 ha abusato di una vulnerabilità correntemente corretta in un servizio VPN utilizzato da lavoratori remoti. Questo gruppo sembra anche rubare file prima di distribuire il ransomware, probabilmente in grado di minacciare ulteriormente la fuga di dati online se le sue richieste non vengono soddisfatte.

UNC2465 utilizza il phishing e una backdoor chiamata Smokedham. A differenza degli altri due gruppi, FireEye ha dati che questo particolare gruppo ha ottenuto l'accesso a una rete compromessa diversi mesi prima dell'avvio della crittografia e della distribuzione del ransomware effettivo.

Il consenso generale tra i ricercatori è che i gruppi che gestiscono i ceppi in continua evoluzione del ransomware continueranno solo a migliorare ed evolvere i loro metodi e strumenti.