Аффилированные лица с программами-вымогателями DarkSide, отслеживаемые исследователями безопасности

Недавняя кибератака на Colonial Pipeline вызвала большой переполох в Соединенных Штатах и вызвала участие ФБР, среди других государственных служб и компаний кибербезопасности. После инцидента, когда Colonial и группа безопасности, взятая на борт поставщиком топлива, все еще изо всех сил пытались восстановить работу трубопровода и позволить топливу снова течь к восточному побережью, другие эксперты по безопасности изучали DarkSide и связанные с ней организации-злоумышленники.

DarkSide - злоумышленник, который обычно ведет себя благородно и даже жертвует часть получаемых кибер-выкупов на благотворительность. Несмотря на то, что DarkSide хочет носить плащ Робин Гуда, цели группы далеко не благородные. DarkSide работает с использованием обычного метода в теневом мире вредоносных программ, который называется «программа-вымогатель как услуга» или сокращенно RaaS. Согласно этой модели, организация верхнего уровня, в данном случае DarkSide, выдает лицензии на свой инструментарий вымогателей третьим сторонам.

Таким образом, ряд злоумышленников могут выполнять тяжелую работу по распространению программ-вымогателей и выяснению точек проникновения и векторов атак. После заражения жертвы, если она решит заплатить, третьи стороны, осуществившие атаку, разделят выкуп с DarkSide.

Следуя общепринятой, законной деловой практике, DarkSide, похоже, тоже получает все меньшую долю, чем больше выплата выкупа. ZDNet цитирует 25% -ное сокращение карманов DarkSide за счет более мелких партнерских вакансий. Срез, который получают авторы вымогателей, уменьшается до 10% в случае, если сумма выкупа превышает 5 миллионов долларов.

По словам экспертов по безопасности FireEye, DarkSide даже проводит собеседования по найму, прежде чем соглашается взять на себя подающего надежды хакера в качестве лицензиата. Если собеседование прошло успешно, начинающему киберпреступнику предоставляется доступ к его личной панели управления, которую он может использовать для настройки своей конкретной полезной нагрузки и управления информацией о жертве и выплатах, а также обращаться в DarkSide за поддержкой по использованию программы-вымогателя.

FireEye определила пять отдельных лиц или групп злоумышленников, которые, по всей видимости, связаны с DarkSide и, скорее всего, являются лицензиатами программ-вымогателей. Три группы были изучены более подробно и получили кодовые названия UNC2628, UNC2659 и UNC2465 соответственно.

Самая ранняя активность одной из групп датируется апрелем прошлого года. Каждая группа использует несколько разные подходы, когда дело доходит до проникновения, а также эксплойтов и уязвимостей, используемых для получения доступа к скомпрометированным сетям.

UNC2628 известен тем, что злоупотребляет украденными учетными данными VPN для получения доступа и обычно тратит очень мало времени на зондирование в сети, прежде чем перейти к шифрованию.

UNC2659 злоупотреблял исправленной в настоящее время уязвимостью в службе VPN, используемой удаленными сотрудниками. Эта группа также, похоже, крадет файлы до того, как развернет программу-вымогатель, что, вероятно, сможет еще больше угрожать утечкой данных в Интернете, если ее требования не будут выполнены.

UNC2465 использует фишинг и бэкдор под названием Smokedham. В отличие от двух других групп, FireEye располагает данными о том, что эта конкретная группа получила доступ к взломанной сети за несколько месяцев до начала шифрования и развертывания реальной программы-вымогателя.

По общему мнению исследователей, группы, использующие постоянно развивающиеся разновидности программ-вымогателей, будут только продолжать совершенствовать и развивать свои методы и инструменты.