DarkSide Ransomware tilknyttede enheter spores av sikkerhetsforskere

Det nylige cyberangrepet på Colonial Pipeline forårsaket stor oppstyr i USA og førte til involvering av FBI, blant andre statlige tjenester og cybersikkerhetsselskaper. I etterkant av hendelsen, med Colonial og sikkerhetsteamet som ble tatt ombord av drivstoffleverandøren som fortsatt klatret for å gjenopprette rørledningsdriften og la drivstoffet strømme mot østkysten igjen, har andre sikkerhetseksperter undersøkt DarkSide og dets tilknyttede dårlige skuespillerenheter.

DarkSide er en trusselsaktør som vanligvis tar edle lufter og til og med donerer noen av cyber-løsepengene de mottar til veldedighet. Til tross for Robin Hood-kappen DarkSide vil ha på seg, er gruppens mål alt annet enn edle. DarkSide fungerer med en vanlig metode i den skyggefulle verdenen av skadelig programvare, kalt "ransomware as a service" eller kort sagt RaaS. Under denne modellen lisenser den øverste enheten, i dette tilfellet DarkSide, ut sin ransomware-verktøysett til tredjeparter.

På denne måten kan en rekke dårlige skuespillere løfte tungt å distribuere løsepenger og finne ut infiltrasjonspunkter og angripe vektorer. Når offeret har blitt smittet, hvis de bestemmer seg for å betale opp, delte tredjeparter som utførte angrepet løsepenger med DarkSide.

Etter vanlig, legitim forretningspraksis, ser det ut til at DarkSide også tar et stadig mindre kutt, jo større løsepenger er. ZDNet siterer et kutt på 25% som går i DarkSides lommer med mindre tilknyttede jobber. Stykket ransomware-forfatterne mottar, reduseres til bare 10% i tilfelle løsepenger utbetaler $ 5 millioner.

I følge sikkerhetseksperter med FireEye gjennomfører DarkSide til og med rekrutteringsintervjuer før de blir enige om å ta på seg en spirende hacker som lisensinnehaver. Hvis intervjuet er en suksess, får den håpefulle cyberkriminelle tilgang til sitt personlige kontrollpanel som de kan bruke til å tilpasse deres spesifikke nyttelast og administrere sitt offer og utbetalingsinformasjon, samt kontakte DarkSide for støtte med bruk av løsepenger.

FireEye har identifisert fem separate enheter eller grupper av dårlige skuespillere som alle ser ut til å være knyttet til DarkSide og med stor sannsynlighet er ransomware-lisensinnehavere. Tre av gruppene ble undersøkt nærmere og gitt kodenavnene til henholdsvis UNC2628, UNC2659 og UNC2465.

Den tidligste aktiviteten til en av gruppene dateres tilbake til april i fjor. Hver gruppe bruker litt forskjellige tilnærminger når det gjelder infiltrasjon og utnyttelsene og sårbarhetene som brukes til å få tilgang til kompromitterte nettverk.

UNC2628 er kjent for å misbruke stjålet VPN-legitimasjon for å få tilgang, og bruker vanligvis veldig lite tid på å teste rundt på nettverket før det går til kryptering.

UNC2659 misbrukte et for øyeblikket lappet sårbarhet i en VPN-tjeneste som brukes av eksterne arbeidere. Denne gruppen ser også ut til å stjele filer før den distribuerer løsepenger, sannsynligvis vil være i stand til å ytterligere true med å lekke data på nettet hvis kravene ikke blir oppfylt.

UNC2465 bruker phishing og en bakdør som heter Smokedham. I motsetning til de to andre gruppene, har FireEye data om at denne gruppen fikk tilgang til et kompromittert nettverk flere måneder før kryptering startet og distribusjon av selve løsepenger.

Den generelle konsensusen blant forskere er at gruppene som driver de stadig utviklende stammer av ransomware, bare vil fortsette å forbedre og utvikle metodene og verktøyene.