安全研究人员追踪的DarkSide勒索软件附属实体

最近对殖民地管道的网络攻击在美国引起了极大的反响，并促使联邦调查局以及其他国家服务和网络安全公司参与其中。事发后，殖民者和燃料供应商派出的安全小组仍在努力恢复管道运行，并让燃料再次流向东海岸，其他安全专家也在研究DarkSide及其附属的不良行为者实体。

DarkSide是一个威胁演员，通常会高声张扬，甚至将其收到的部分网络赎金捐赠给慈善机构。尽管Robin Hood的斗篷DarkSide想要穿，但该组织的目标绝非高尚。 DarkSide在阴暗的恶意软件世界中使用一种通用方法工作，称为“勒索软件即服务”或RaaS。在这种模式下，顶级实体（在本例中为DarkSide）将其勒索软件工具包许可给第三方。

通过这种方式，许多不良行为者可以繁重地分发勒索软件并找出渗透点和攻击媒介。一旦受害者被感染，如果他们决定付款，进行攻击的第三方将与DarkSide一起分摊赎金。

遵循常见的合法商业惯例，似乎赎金支出越大，DarkSide所采取的削减幅度也就越小。 ZDNet表示，DarkSide的口袋里的会员职位减少了25％。如果勒索金额超过500万美元，勒索软件作者所获得的份额将减少到10％。

根据FireEye的安全专家的说法，DarkSide甚至在同意接受新兴的黑客作为被许可人之前进行面试。如果访问成功，则有抱负的网络犯罪分子将可以访问他们的个人控制面板，他们可以用来自定义特定的有效负载并管理受害者和付款信息，还可以联系DarkSide获得使用勒索软件的支持。

FireEye确定了五个单独的实体或不良行为者组，它们似乎都与DarkSide有关，并且很可能是勒索软件的被许可人。对其中的三个组进行了更详细的检查，并分别指定了UNC2628，UNC2659和UNC2465的代号。

其中一个小组的最早活动可以追溯到去年四月。在渗透以及用于获取对受感染网络的访问的漏洞利用和漏洞方面，每个组使用的方法略有不同。

UNC2628以滥用被盗的VPN凭证来获得访问权限而闻名，通常在转移到加密之前花费很少的时间在网络上进行探测。

UNC2659滥用了远程工作者使用的VPN服务中一个当前已修补的漏洞。该组织似乎还可以在部署勒索软件之前窃取文件，如果不满足其要求，很可能进一步威胁在线泄漏数据。

UNC2465使用网络钓鱼和名为Smokedham的后门。与其他两组不同，FireEye拥有的数据表明，该特定组在开始加密和部署实际的勒索软件之前几个月就已经获得了访问受损网络的权限。

研究人员之间的普遍共识是，使用勒索软件不断演变的菌株的小组只会继续改进和发展他们的方法和工具。