セキュリティ研究者によって追跡されたDarkSideランサムウェアアフィリエイトエンティティ

コロニアルパイプラインに対する最近のサイバー攻撃は、米国で大きな騒動を引き起こし、他の州のサービスやサイバーセキュリティ会社の中でもFBIの関与を促しました。事件の余波で、コロニアルとセキュリティチームが燃料供給業者に乗船し、パイプラインの運用を回復し、燃料を再び東海岸に向けて流しているため、他のセキュリティ専門家がDarkSideとその関連する悪役エンティティを調査しています。

DarkSideは、通常は高貴な空気を吹き込み、受け取ったサイバー身代金の一部を慈善団体に寄付する脅威アクターです。ロビンフッドのケープDarkSideが着たいと思っているにもかかわらず、グループの目標は決して高貴ではありません。 DarkSideは、「サービスとしてのランサムウェア」または略してRaaSと呼ばれる、マルウェアの陰の世界で一般的な方法を使用して機能します。このモデルでは、トップレベルのエンティティ（この場合はDarkSide）が、ランサムウェアツールキットをサードパーティにライセンス供与します。

このようにして、多くの悪意のある人物が、ランサムウェアを配布し、侵入ポイントと攻撃ベクトルを把握するという手間のかかる作業を行うことができます。被害者が感染した後、支払いを決定した場合、攻撃を実行したサードパーティは、DarkSideで身代金を分割しました。

一般的で合法的な商慣行に従い、DarkSideも身代金の支払いが大きくなるほど、ますます小さな削減を行うようです。 ZDNetは、小規模なアフィリエイトの仕事でDarkSideのポケットに入る25％の削減を引用しています。身代金の支払いが500万ドルを超える場合、ランサムウェアの作成者が受け取るスライスはわずか10％に減少します。

FireEyeのセキュリティ専門家によると、DarkSideは、新進のハッカーをライセンシーとして引き受けることに同意する前に、採用面接を実施することさえあります。インタビューが成功した場合、意欲的なサイバー犯罪者は、特定のペイロードをカスタマイズし、被害者と支払い情報を管理するために使用できる個人用コントロールパネルにアクセスできます。また、ランサムウェアの使用に関するサポートについてはDarkSideに問い合わせてください。

FireEyeは、すべてDarkSideにリンクされているようで、ランサムウェアのライセンシーである可能性が非常に高い、5つの別個のエンティティまたは悪意のあるアクターのグループを特定しました。 3つのグループがより詳細に調査され、それぞれUNC2628、UNC2659、およびUNC2465のコードネームが付けられました。

あるグループの最初の活動は、昨年の4月にさかのぼります。各グループは、侵入と、侵害されたネットワークへのアクセスを取得するために使用されるエクスプロイトと脆弱性に関して、わずかに異なるアプローチを使用します。

UNC2628は、盗まれたVPNクレデンシャルを悪用してアクセスすることで知られており、通常、暗号化に移行する前にネットワークを調査するのにほとんど時間を費やしません。

UNC2659は、リモートワーカーが使用するVPNサービスの現在パッチが適用されている脆弱性を悪用しました。このグループはまた、ランサムウェアを展開する前にファイルを盗むようであり、その要求が満たされない場合、オンラインでのデータの漏洩をさらに脅かす可能性があります。

UNC2465は、フィッシングとSmokedhamという名前のバックドアを使用します。他の2つのグループとは異なり、FireEyeには、暗号化を開始して実際のランサムウェアを展開する数か月前に、この特定のグループが侵害されたネットワークにアクセスしたというデータがあります。

研究者の間の一般的なコンセンサスは、絶えず進化するランサムウェアの系統を運用しているグループは、彼らの方法とツールを改善し、進化させ続けるだけであるということです。