Entidades afiliadas do DarkSide Ransomware rastreadas por pesquisadores de segurança

O recente ataque cibernético a Colonial Pipeline causou grande comoção nos Estados Unidos e levou ao envolvimento do FBI, entre outros serviços estatais e empresas de segurança cibernética. No rescaldo do incidente, com o Colonial e a equipe de segurança levados a bordo pelo fornecedor de combustível ainda lutando para restaurar as operações do oleoduto e deixar o combustível fluir para a costa leste novamente, outros especialistas em segurança têm examinado o DarkSide e suas entidades afiliadas.

DarkSide é um ator de ameaças que geralmente assume um ar de nobreza e até doa parte do dinheiro do resgate cibernético que recebe para instituições de caridade. Apesar da capa Robin Hood que DarkSide quer usar, os objetivos do grupo são tudo menos nobres. DarkSide funciona usando um método comum no mundo obscuro do malware, chamado "ransomware as a service" ou RaaS. Sob esse modelo, a entidade de nível superior, neste caso DarkSide, licencia seu kit de ferramentas de ransomware para terceiros.

Dessa forma, vários agentes mal-intencionados podem fazer o trabalho pesado de distribuir o ransomware e descobrir os pontos de infiltração e vetores de ataque. Uma vez que a vítima tenha sido infectada, se ela decidir pagar, os terceiros que realizaram o ataque dividem o dinheiro do resgate com o DarkSide.

Seguindo práticas comerciais legítimas comuns, parece que o DarkSide também sofre um corte cada vez menor quanto maior for o pagamento do resgate. ZDNet cita um corte de 25% nos bolsos do DarkSide com empregos menores de afiliados. A fatia que os autores do ransomware recebem diminui para apenas 10% caso o pagamento do resgate exceda US $ 5 milhões.

De acordo com especialistas em segurança da FireEye, o DarkSide até realiza entrevistas de recrutamento antes de concordar em contratar um novo hacker como licenciado. Se a entrevista for um sucesso, o aspirante a criminoso cibernético tem acesso ao seu painel de controle pessoal, que pode ser usado para personalizar sua carga útil específica e gerenciar suas informações de vítima e pagamento, bem como entrar em contato com o DarkSide para obter suporte no uso do ransomware.

A FireEye identificou cinco entidades separadas ou grupos de atores mal-intencionados que parecem estar todos vinculados ao DarkSide e muito provavelmente são licenciados de ransomware. Três dos grupos foram examinados com mais detalhes e receberam os codinomes de UNC2628, UNC2659 e UNC2465, respectivamente.

A primeira atividade de um dos grupos data de abril do ano passado. Cada grupo usa abordagens ligeiramente diferentes quando se trata de infiltrações e explorações e vulnerabilidades usadas para obter acesso às redes comprometidas.

O UNC2628 é conhecido por abusar de credenciais VPN roubadas para obter acesso e geralmente gasta muito pouco tempo investigando a rede antes de passar para a criptografia.

UNC2659 abusou de uma vulnerabilidade corrigida atualmente em um serviço VPN usado por trabalhadores remotos. Este grupo também parece roubar arquivos antes de implantar o ransomware, provavelmente capaz de ameaçar ainda mais o vazamento de dados online se suas demandas não forem atendidas.

UNC2465 usa phishing e um backdoor chamado Smokedham. Ao contrário dos outros dois grupos, a FireEye tem dados de que esse grupo específico obteve acesso a uma rede comprometida vários meses antes de iniciar a criptografia e implantar o ransomware real.

O consenso geral entre os pesquisadores é que os grupos que operam as variedades de ransomware em constante evolução continuarão a aprimorar e desenvolver seus métodos e ferramentas.