DarkSide ransomware - это новый штамм ransomware, участвовавший в громких инцидентах. Его атаки приводят к краже и шифрованию данных, нанося значительный ущерб жертвам.
Что такое DarkSide Ransomware
DarkSide - это киберпреступная группа и одноименная программа-вымогатель, которая, как полагают, происходит из Восточной Европы.
DarkSide работает как Ransomware-as-a-Service (RaaS) - по сути, она предлагается аффилированным лицам, которые затем проводят атаки. Эти партнеры, прошедшие проверку в процессе собеседования, соглашаются на разделение доходов в размере 25% при выкупе на сумму менее 500 000 долларов и 10% при сумме свыше 5 миллионов долларов. В обмен они получают доступ к панели управления.
Код DarkSide не находится в открытом доступе и имеет сходство с другой известной угрозой выкупа - REvil. Эта взаимосвязь может говорить о том, что DarkSide является либо производной, либо партнером REvil. Обе группы берут свое начало в бывшем СССР, применяют схожие методы и тактику, а также используют схожие по структуре записки с выкупом.
Как и большинство угроз, исходящих из стран Содружества Независимых Государств (СНГ), DarkSide проводит проверку перед атакой, чтобы убедиться, что потенциальная жертва не находится на территории бывшего СССР или в арабских странах. Это достигается путем доступа к языкам системы. Выключатель активируется, если в настройках языка установлены следующие значения:
- Русский
- Украинский
- Белорусский
- Таджикский
- Армянский
- Азербайджанский
- Грузинский
- Казахский
- Кыргызский
- Туркменский
- Узбекский
- Татарский
- Молдавский Румынский
- или Сирийский арабский
Если говорить о географии жертв, то DarkSide в первую очередь атакует США, а также Канаду, Францию, Бельгию и другие страны Западной Европы. Эта угроза печально известна тем, что осуществляет громкие атаки в различных секторах бизнеса. Стоит отметить, однако, что DarkSide избегает атак на благотворительные организации, медицинские учреждения, учебные заведения и некоммерческие организации, предположительно придерживаясь внутреннего кодекса поведения.
Среди наиболее заметных инцидентов, в которых участвовала DarkSide, - атака Colonial Pipeline на выкупное ПО в мае 2021 года. Эта атака привела к добровольной остановке трубопровода, поставляющего 45% топлива на восточное побережье США. Группа вымогала около 75 биткоинов, почти 5 миллионов долларов. Другой заметный инцидент включает Ransomware-атаку на поставщика управляемых ИТ-услуг CompuCom в марте 2021 года. В результате этой атаки расходы на восстановление составили более 20 миллионов долларов, нанеся компании значительный финансовый ущерб.
Технические подробности DarkSide Ransomware
После получения первоначального доступа DarkSide ransomware устанавливает командование и контроль в основном через RDP-клиент по порту 443, маршрутизируемый через TOR. Некоторые образцы могут использовать Cobalt Strike в качестве вторичного механизма командования и контроля, при этом на целевые устройства устанавливаются специализированные стейджеры.
Группа использует различные инструменты, такие как Advanced IP Scanner, psexec и Mimikatz, для сканирования сетей, выполнения команд и кражи учетных данных. После фазы разведки используется инструмент разведки Active Directory для сбора дополнительной информации о пользователях, группах и привилегиях.
Злоумышленники добывают учетные данные из папок с профилями пользователей и используют сценарий Invoke-mimikatXz.ps1 для извлечения учетных данных с серверов. После получения учетных данных администратора домена они проводят атаку DCSync для репликации информации AD, получая доступ к данным паролей для всего домена.
Группа использует активный сервер Windows в качестве концентратора для хранения данных перед эксфильтрацией. Данные с серверов сжимаются в архивы 7zip с простым соглашением об именовании. Они также ослабляют разрешения на файловых системах, чтобы получить доступ к файлам с любой учетной записью пользователя домена.
Перед развертыванием вымогательского ПО DarkSide составляет карту среды, эксфильтрирует данные, получает контроль над привилегированными учетными записями, определяет резервные системы, серверы и приложения. Код ransomware доставляется через установленные бэкдоры и настраивается для каждой жертвы. Программы-вымогатели обходят механизмы обнаружения на основе сигнатур, используя уникальные исполняемые файлы и расширения, а также применяя методы защиты от криминалистики и отладки.
Сначала программа копирует себя на временный путь и внедряет свой код в существующий процесс. Если он обнаруживает отладку или VM, он останавливается. Затем вредоносная программа динамически загружает свои библиотеки, чтобы избежать обнаружения решениями AV и EDR.
Вредоносная программа удаляет теневые копии на устройстве жертвы с помощью обфусцированной команды PowerShell. После удаления вредоносная программа закрывает определенные процессы, чтобы избежать блокировки файлов, и начинает процедуру шифрования, добавляя 8-символьную строку в конец имен зашифрованных файлов. Она избегает шифрования файлов с определенными расширениями и создает файл с инструкциями по выкупу для расшифровки.
Распространение DarkSide Ransomware
DarkSide ransomware распространяется в основном через фишинговые кампании и использует злоупотребление протоколом удаленного рабочего стола (RDP) и известные уязвимости для первоначального доступа.
Операторы Ransomware используют социальную инженерию и целенаправленные фишинговые кампании, чтобы обманом заставить пользователей загрузить вредоносный контент. Также известно, что они используют слабо защищенные конечные точки RDP. Группа также нацеливается на непропатченные серверы и удаленно эксплуатируемые системы, иногда получая доступ к инфраструктуре виртуальных рабочих столов (VDI) через скомпрометированные учетные записи подрядчиков.
Заключение
Еще в мае 2021 года группа DarkSide объявила, что потеряла доступ к части своей хакерской инфраструктуры из-за "значительного давления со стороны США", пообещав свернуть свою деятельность.
Однако если сходство с REvil (и, соответственно, с предшественником GandCrab) действительно указывает на связь между этими группами, маловероятно, что деятельность DarkSide по распространению вымогательских программ уменьшится.