Aan DarkSide Ransomware gelieerde entiteiten getraceerd door beveiligingsonderzoekers

De recente cyberaanval op Colonial Pipeline veroorzaakte grote opschudding in de Verenigde Staten en leidde tot de betrokkenheid van de FBI, onder andere staatsdiensten en cyberveiligheidsbedrijven. In de nasleep van het incident, terwijl Colonial en het beveiligingsteam aan boord werden genomen door de brandstofleverancier die nog steeds bezig waren de pijpleidingactiviteiten te herstellen en de brandstof weer naar de oostkust te laten stromen, hebben andere beveiligingsexperts DarkSide en zijn gelieerde 'bad actor'-entiteiten onderzocht.

DarkSide is een bedreigingsacteur die meestal een nobele uitstraling heeft en zelfs een deel van het cyber losgeld dat het ontvangt, doneert aan een goed doel. Ondanks de Robin Hood cape die DarkSide wil dragen, zijn de doelstellingen van de groep allesbehalve nobel. DarkSide gebruikt een veelgebruikte methode in de duistere wereld van malware, genaamd "ransomware as a service" of afgekort RaaS. Volgens dit model geeft de entiteit op het hoogste niveau, in dit geval DarkSide, zijn ransomware-toolkit in licentie aan derden.

Op deze manier kunnen een aantal slechte actoren het zware werk doen van het verspreiden van de ransomware en het uitzoeken van infiltratiepunten en aanvalsvectoren. Als het slachtoffer eenmaal is geïnfecteerd en ze besluiten te betalen, deelden de derde partijen die de aanval hebben uitgevoerd het losgeld met DarkSide.

Volgens gangbare, legitieme zakelijke praktijken, lijkt het erop dat DarkSide ook steeds kleiner wordt naarmate het losgeld hoger wordt. ZDNet noemt een verlaging van 25% in de zakken van DarkSide met kleinere aangesloten banen. Het deel dat de auteurs van de ransomware ontvangen, daalt tot slechts 10% als het losgeld meer dan $ 5 miljoen bedraagt.

Volgens beveiligingsexperts van FireEye voert DarkSide zelfs rekruteringsinterviews uit voordat ze overeenkomen om een beginnende hacker als licentiehouder aan te nemen. Als het interview een succes is, krijgt de aspirant-cybercrimineel toegang tot hun persoonlijke controlepaneel dat ze kunnen gebruiken om hun specifieke payload aan te passen en hun slachtoffer- en uitbetalingsinformatie te beheren, en om contact op te nemen met DarkSide voor ondersteuning bij het gebruik van de ransomware.

FireEye heeft vijf afzonderlijke entiteiten of groepen van slechte actoren geïdentificeerd die allemaal verband lijken te houden met DarkSide en zeer waarschijnlijk ransomwarelicentiehouders zijn. Drie van de groepen werden nader onderzocht en kregen respectievelijk de codenamen UNC2628, UNC2659 en UNC2465.

De eerste activiteit van een van de groepen dateert van april vorig jaar. Elke groep gebruikt enigszins verschillende benaderingen als het gaat om infiltratie en de exploits en kwetsbaarheden die worden gebruikt om toegang te krijgen tot gecompromitteerde netwerken.

UNC2628 staat erom bekend gestolen VPN-inloggegevens te misbruiken om toegang te krijgen, en besteedt over het algemeen heel weinig tijd aan het onderzoeken van het netwerk voordat het overgaat op codering.

UNC2659 misbruikte een momenteel gepatchte kwetsbaarheid in een VPN-service die wordt gebruikt door externe medewerkers. Deze groep lijkt ook bestanden te stelen voordat het de ransomware implementeert, waardoor ze waarschijnlijk verder kunnen dreigen met het online lekken van de gegevens als niet aan de eisen wordt voldaan.

UNC2465 maakt gebruik van phishing en een achterdeur genaamd Smokedham. In tegenstelling tot de andere twee groepen, heeft FireEye gegevens dat deze specifieke groep enkele maanden voordat de encryptie begon en de daadwerkelijke ransomware werd ingezet, toegang kreeg tot een gecompromitteerd netwerk.

De algemene consensus onder onderzoekers is dat de groepen die de steeds evoluerende soorten ransomware beheren, hun methoden en tools alleen maar zullen blijven verbeteren en ontwikkelen.

May 12, 2021
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.