Podmioty stowarzyszone DarkSide Ransomware śledzone przez badaczy bezpieczeństwa

Niedawny cyberatak na Colonial Pipeline wywołał duże zamieszanie w Stanach Zjednoczonych i skłonił do zaangażowania FBI, między innymi służb państwowych i firm zajmujących się bezpieczeństwem cybernetycznym. W następstwie incydentu, gdy Colonial i zespół bezpieczeństwa zabrany na pokład przez dostawcę paliwa wciąż starają się przywrócić działanie rurociągu i pozwolić, aby paliwo ponownie płynęło w kierunku wschodniego wybrzeża, inni eksperci ds. Bezpieczeństwa badali DarkSide i powiązane z nim podmioty będące złymi aktorami.

DarkSide to aktor groźny, który zwykle stawia na szlachetny wygląd, a nawet przekazuje część pieniędzy z cyber okupu, które otrzymuje na cele charytatywne. Pomimo peleryny Robin Hooda, którą DarkSide chce nosić, cele grupy nie są szlachetne. DarkSide działa przy użyciu powszechnej metody w podejrzanym świecie złośliwego oprogramowania, zwanej „ransomware as a service” lub w skrócie RaaS. W ramach tego modelu podmiot najwyższego poziomu, w tym przypadku DarkSide, udziela licencji na swój zestaw narzędzi ransomware stronom trzecim.

W ten sposób wielu złych aktorów może ciężko poradzić sobie z dystrybucją oprogramowania ransomware oraz ustalaniem punktów infiltracji i wektorów ataków. Po zarażeniu ofiary, jeśli zdecydują się zapłacić, osoby trzecie, które przeprowadziły atak, podzieliły pieniądze z okupu na DarkSide.

Zgodnie z powszechnymi, legalnymi praktykami biznesowymi, wydaje się, że DarkSide również przyjmuje coraz mniejsze cięcia, im większa jest wypłata okupu. ZDNet wspomina o 25% cięciu w kieszeniach DarkSide przy mniejszych zleceniach partnerskich. Część otrzymywana przez autorów oprogramowania ransomware spada do zaledwie 10% w przypadku, gdy kwota okupu przekroczy 5 milionów dolarów.

Według ekspertów ds. Bezpieczeństwa z FireEye, DarkSide przeprowadza nawet rozmowy rekrutacyjne, zanim zgodzą się przyjąć jako licencjobiorcę początkującego hakera. Jeśli wywiad zakończy się sukcesem, aspirujący cyberprzestępca otrzymuje dostęp do swojego osobistego panelu kontrolnego, za pomocą którego może dostosować swój konkretny ładunek i zarządzać informacjami o ofierze i wypłatach, a także skontaktować się z DarkSide w celu uzyskania pomocy w korzystaniu z oprogramowania ransomware.

FireEye zidentyfikowało pięć oddzielnych podmiotów lub grup złych aktorów, z których wszyscy wydają się być powiązani z DarkSide i najprawdopodobniej są licencjobiorcami oprogramowania ransomware. Trzy z grup zostały zbadane bardziej szczegółowo i otrzymały nazwy kodowe odpowiednio UNC2628, UNC2659 i UNC2465.

Najwcześniejsza działalność jednej z grup sięga kwietnia ubiegłego roku. Każda grupa stosuje nieco inne podejście, jeśli chodzi o infiltrację oraz exploity i luki wykorzystywane w celu uzyskania dostępu do zaatakowanych sieci.

UNC2628 jest znany z nadużywania skradzionych danych uwierzytelniających VPN w celu uzyskania dostępu i generalnie spędza bardzo mało czasu na badaniu sieci, zanim przejdzie do szyfrowania.

UNC2659 nadużył obecnie załatanej luki w usłudze VPN używanej przez pracowników zdalnych. Wydaje się, że ta grupa również kradnie pliki, zanim wdroży oprogramowanie ransomware, prawdopodobnie będzie w stanie jeszcze bardziej zagrozić ujawnieniem danych online, jeśli jej żądania nie zostaną spełnione.

UNC2465 wykorzystuje phishing i backdoor o nazwie Smokedham. W przeciwieństwie do pozostałych dwóch grup, FireEye posiada dane, że ta konkretna grupa uzyskała dostęp do zaatakowanej sieci kilka miesięcy przed rozpoczęciem szyfrowania i wdrożeniem rzeczywistego oprogramowania ransomware.

Ogólny konsensus wśród badaczy jest taki, że grupy obsługujące stale ewoluujące odmiany oprogramowania ransomware będą nadal ulepszać i ewoluować swoje metody i narzędzia.