DarkSide Ransomware-anslutna enheter spårade av säkerhetsforskare

Den senaste cyberattacken på Colonial Pipeline orsakade stor uppståndelse i USA och föranledde FBI, bland andra statliga tjänster och cybersäkerhetsföretag. I efterdyningarna av händelsen, med Colonial och säkerhetsteamet som tagits ombord av bränsleleverantören som fortfarande krypterade för att återställa rörledningsdriften och låta bränslet flöda mot östkusten igen, har andra säkerhetsexperter undersökt DarkSide och dess närstående enheter med dåliga aktörer.

DarkSide är en hotskådespelare som vanligtvis tar på sig ädla luftar och till och med donerar några av de cyberlösenpengar som de får till välgörenhet. Trots Robin Hood-kappan som DarkSide vill ha på sig, är gruppens mål allt annat än ädla. DarkSide fungerar med en vanlig metod i den skuggiga världen av skadlig kod, kallad "ransomware as a service" eller kort sagt RaaS. Enligt den här modellen licensierar den översta nivån, i det här fallet DarkSide, sin verktygslåda för ransomware till tredje part.

På detta sätt kan ett antal dåliga aktörer göra det tunga med att distribuera ransomware och räkna ut infiltrationspunkter och attackvektorer. När offret har smittats, om de bestämmer sig för att betala, delar de tredje parter som utförde attacken lösenpengarna med DarkSide.

Enligt vanliga, legitima affärsmetoder verkar det som om DarkSide också tar en allt mindre nedskärning ju större lösenutbetalningen är. ZDNet citerar en 25% nedskärning i DarkSides fickor med mindre affiliate-jobb. Den del som ransomware-författarna får minskar till bara 10% om lösenbetalningen överstiger 5 miljoner dollar.

Enligt säkerhetsexperter med FireEye genomför DarkSide till och med rekryteringsintervjuer innan de går med på att börja med en spirande hackare som licenstagare. Om intervjun är en framgång får den blivande cyberbrottslingen tillgång till sin personliga kontrollpanel som de kan använda för att anpassa sin specifika nyttolast och hantera sitt offer och utbetalningsinformation, samt kontakta DarkSide för support med användning av ransomware.

FireEye har identifierat fem separata enheter eller grupper av dåliga skådespelare som alla verkar vara kopplade till DarkSide och med stor sannolikhet ransomware-licenstagare. Tre av grupperna undersöktes mer detaljerat och fick kodnamnen för UNC2628, UNC2659 respektive UNC2465.

En av gruppernas tidigaste aktivitet går tillbaka till april förra året. Varje grupp använder lite olika tillvägagångssätt när det gäller infiltration och de exploateringar och sårbarheter som används för att få tillgång till komprometterade nätverk.

UNC2628 är känt för att missbruka stulna VPN-referenser för att få tillgång och brukar spendera mycket lite tid på att undersöka nätverket innan det går till kryptering.

UNC2659 missbrukade en för närvarande korrigerad sårbarhet i en VPN-tjänst som används av fjärrarbetare. Denna grupp verkar också stjäla filer innan den distribuerar ransomware, sannolikt att kunna hota ytterligare att läcka data online om dess krav inte uppfylls.

UNC2465 använder nätfiske och en bakdörr med namnet Smokedham. Till skillnad från de andra två grupperna har FireEye data om att just den här gruppen fick tillgång till ett komprometterat nätverk flera månader innan kryptering startade och den faktiska ransomware distribuerades.

Det allmänna samförståndet bland forskare är att de grupper som driver de ständigt växande stammarna av ransomware bara kommer att fortsätta att förbättra och utveckla sina metoder och verktyg.