Saugumo tyrinėtojų aptikti „DarkSide“ išpirkos programų filialai

Neseniai įvykusi kibernetinė ataka prieš kolonijinį vamzdyną sukėlė didelį sąmyšį JAV ir paskatino FTB, be kitų valstybės tarnybų ir kibernetinio saugumo bendrovių, įsitraukti. Po incidento, kai „Colonial“ ir saugos komanda, į kurią degalų tiekėjas įsitraukė, vis dar stengėsi atkurti dujotiekio operacijas ir leisti kurui vėl tekėti rytinės pakrantės link, kiti saugumo ekspertai nagrinėjo „DarkSide“ ir su ja susijusius blogų veikėjų subjektus.

„DarkSide“ yra grėsmių veikėjas, paprastai pasirodantis kilniai ir netgi paaukojantis dalį gautų kibernetinių išpirkos pinigų labdarai. Nepaisant to, kad „DarkSide“ nori dėvėti „Robin Hood“ peleriną, grupės tikslai yra ne kas kita, o kilnus. „DarkSide“ šešėliniame kenkėjiškų programų pasaulyje veikia įprastu būdu, vadinamu „ransomware as a service“ arba trumpai vadinama „RaaS“. Pagal šį modelį aukščiausio lygio subjektas, šiuo atveju „DarkSide“, licencijuoja savo išpirkos programų rinkinį tretiesiems asmenims.

Tokiu būdu daugybė blogų veikėjų gali sunkiai pakelti išpirkos išpardavimą ir išsiaiškinti infiltracijos taškus bei atakos vektorius. Kai auka bus užkrėsta, jei jie nuspręs susimokėti, užpuolimą įvykdžiusios trečiosios šalys išpirkos pinigus padalino su „DarkSide“.

Laikantis įprastos, teisėtos verslo praktikos, atrodo, kad „DarkSide“ taip pat imasi vis mažesnio pjūvio, tuo didesnė išpirkos išmoka. „ZDNet“ nurodo 25% sumažėjimą „DarkSide“ kišenėse su mažesniais filialų darbais. Išpirkos autorių gaunama dalis sumažėja iki 10% tuo atveju, jei išpirkos išmoka viršija 5 milijonus USD.

Pasak „FireEye“ saugumo ekspertų, „DarkSide“ net vykdo įdarbinimo interviu, kol jie nesutaria priimti licencijuojančio įsilaužėlio. Jei pokalbis yra sėkmingas, siekiančiam kibernetiniam nusikaltėliui suteikiama prieiga prie asmeninio valdymo pulto, kurį jie gali naudoti norėdami pritaikyti savo konkretų naudingąjį krūvį ir tvarkyti aukos bei išmokėjimo informaciją, taip pat susisiekti su „DarkSide“ dėl palaikymo naudojant išpirkos programą.

„FireEye“ nustatė penkis atskirus subjektus ar blogų veikėjų grupes, kurie, atrodo, visi yra susiję su „DarkSide“ ir yra labai tikėtina, kad išpirkos programų licencijos turėtojai. Trys iš grupių buvo ištirtos išsamiau ir joms buvo suteikti atitinkami UNC2628, UNC2659 ir UNC2465 kodiniai pavadinimai.

Ankstyviausia vienos iš grupių veikla prasidėjo praėjusių metų balandžio mėnesį. Kiekviena grupė taiko šiek tiek skirtingus požiūrius į infiltraciją ir išnaudojimus bei pažeidžiamumus, naudojamus norint patekti į pažeistus tinklus.

UNC2628 yra žinomas dėl piktnaudžiavimo pavogtais VPN prisijungimo duomenimis, kad gautų prieigą, ir paprastai praleidžia labai mažai laiko, kol bando tinkle, kol jis pereis prie šifravimo.

UNC2659 piktnaudžiavo šiuo metu užtaisytu VPN paslaugos, kurią naudoja nuotoliniai darbuotojai, pažeidžiamumu. Atrodo, kad ši grupė, prieš diegdama išpirkos programą, pavagia failus, tikėtina, kad dar labiau grasindama nutekinti duomenis internete, jei jos reikalavimai nebus įvykdyti.

UNC2465 naudojamas sukčiavimas ir užpakalinė duris pavadinimu „Smokedham“. Skirtingai nuo kitų dviejų grupių, „FireEye“ turi duomenų, kad ši konkreti grupė gavo prieigą prie pažeisto tinklo kelis mėnesius prieš pradėdama šifruoti ir įdiegti tikrąją išpirkos programą.

Bendras mokslininkų sutarimas yra tas, kad grupės, naudojančios nuolat besikeičiančias išpirkos programas, toliau tobulins ir tobulins savo metodus ir įrankius.