安全研究人員追踪的DarkSide勒索軟件附屬實體

最近對殖民地管道的網絡攻擊在美國引起了極大的反響，並促使聯邦調查局以及其他國家服務和網絡安全公司參與其中。事發後，殖民者和燃料供應商派出的安全小組仍在努力恢復管道運行並讓燃料再次流向東海岸，其他安全專家也在研究DarkSide及其附屬的不良行為者實體。

DarkSide是一個威脅演員，通常會高聲張揚，甚至將其收到的部分網絡贖金捐贈給慈善機構。儘管Robin Hood的斗篷DarkSide想要穿，但該組織的目標絕非高尚。 DarkSide在陰暗的惡意軟件世界中使用一種通用方法工作，稱為“勒索軟件即服務”或RaaS。在這種模式下，頂級實體（在本例中為DarkSide）將其勒索軟件工具包許可給第三方。

通過這種方式，許多不良行為者可以繁重地分發勒索軟件並找出滲透點和攻擊媒介。一旦受害者被感染，如果他們決定付款，進行攻擊的第三方將與DarkSide一起分攤贖金。

遵循常見的合法商業慣例，似乎贖金支出越大，DarkSide所採取的削減幅度也就越小。 ZDNet表示，DarkSide的口袋裡的會員職位減少了25％。如果勒索金額超過500萬美元，勒索軟件作者所獲得的份額將減少到10％。

根據FireEye的安全專家的說法，DarkSide甚至在同意接受新興的黑客作為被許可人之前進行面試。如果訪問成功，則有抱負的網絡犯罪分子將可以訪問他們的個人控制面板，他們可以用來自定義特定的有效負載並管理受害者和付款信息，還可以聯繫DarkSide獲得使用勒索軟件的支持。

FireEye確定了五個單獨的實體或不良行為者組，它們似乎都與DarkSide有關，並且很可能是勒索軟件的被許可人。對其中的三個組進行了更詳細的檢查，並分別指定了UNC2628，UNC2659和UNC2465的代號。

其中一個小組的最早活動可以追溯到去年四月。每個小組在滲透以及用於獲取受感染網絡訪問的漏洞利用和漏洞方面都使用略有不同的方法。

UNC2628以濫用被盜的VPN憑證來獲得訪問權限而聞名，通常在轉移到加密之前花費很少的時間在網絡上進行探測。

UNC2659濫用了遠程工作者使用的VPN服務中一個當前已修補的漏洞。該組織似乎還可以在部署勒索軟件之前竊取文件，如果不滿足其要求，很可能進一步威脅在線洩漏數據。

UNC2465使用網絡釣魚和名為Smokedham的後門。與其他兩個組不同，FireEye擁有的數據表明，該特定組在開始加密和部署實際勒索軟件的幾個月之前就已經獲得了訪問受損網絡的權限。

研究人員之間的普遍共識是，使用勒索軟件不斷發展變化的群體只會繼續改進和發展他們的方法和工具。