以上是DarkSide勒索软件集团在公众面前凹陷“人设”。
今年5月攻击美国输油管道公司Colonial Pipeline之后,DarkSide“一炮而红”。公众的目光聚集在这个被发现不到一年的新组织身上。
网络安全技术公司Cybereason称,DarkSide 勒索软件集团是一群通过向其他罪犯出售勒索软件工具赚钱的有组织的攻击者。
DarkSide2020年 8 月首次发现,该组织的地理位置和背景尚未得到证实。但美国总统拜登在白宫新闻发布会上表示,该组织是俄罗斯背景。Cybereason也指出,DarkSide以前从未攻击过总部设在俄罗斯等前苏联国家的企业。
但在攻击Colonial Pipeline之后,美国执法部门加强了对DarkSide审查,当月,DarkSide宣布关闭其业务。
DarkSide曾公开表示,曾公开表示,“我们(组织)是非政治性的,与地缘政治无关。不要把我们和特定的政府联系起来。”
勒索的“边界感”
Cybereason首席安全官Sam Curry表示,DarkSide实施勒索攻击似乎有一种“边界感”,其主要目标是英语国家的盈利公司。例如,它将告诉客户避免医院、疗养院、学校、非营利组织和政府机构。
DarkSide也在2020年8月发布的一份公开声明中称“我们的目标是赚钱,而不是为社会制造问题。”它承诺不攻击医院、学校、政府机构、非营利组织和非商业组织。
该组织甚至声称,部分勒索收入已捐赠给慈善机构,分别为1万美元。
但威胁情报公司分析师的首席安全策略师乔恩·迪马吉奥(Jon DiMaggio)这更像是提高知名度的公关花招。
迪马吉奥说:“当Darkside当声称要捐款时,几乎全世界的在线新闻媒体都报道了这一点,这基本上是一个2万美元的营销,使它出名。该组织的成员似乎很强大‘自尊心’这就是为什么他们发布新闻稿,与媒体和研究人员保持微妙联系。”
DarkSide“发家史”
DarkSide起初,只有一名黑客受雇于臭名昭著的勒索软件服务提供商REvil。这名黑客在REvil获得网络犯罪经验后,自行开发和 REvil 共享代码的勒索软件新变种。
2020年 11 月,DarkSide 开始雇佣自己的分支机构进行某些阶段的攻击,包括攻击的有效载荷。
威胁勘探主管弗拉基米尔的卡巴斯基·库斯科夫(Vladimir Kuskov)曾告诉媒体,DarkSide纯粹是由利润驱动的,执着于“大猎杀”,其目标是大公司和组织。通过它的关联,DarkSide 将其勒索软件产品出售给合作伙伴,然后从其他黑客购买组织访问权限,以部署实际的勒索软件。
库斯科夫说,勒索软件产品适用于Windows和Linux。DarkSide这两个版本都有严格的加密方案,没有密钥基本无法解密。
此前,DarkSide 为受害者提供相同的密钥,所有安全人员都开始尝试建立自己的解密工具来帮助受害者恢复文件和数据。DarkSide我们已经意识到了这个缺陷,所以下一个受害者不能通过这种方式“自救”。
有安全公司总结,DarkSide组织耐心,组织严密,对受害者有深入的了解,包括其技术设施和任何安全技术弱点。
DarkSide与其他网络犯罪集团不同,他们使用非常复杂和秘密的策略来感染和勒索受害者。他们的策略包括:
- 使用复杂的模糊技术来避免基于签名的检测机制
- 利用 TOR向远程服务器发送命令和控制信息以避免检测
- 利用伊朗的分布式存储系统存储从受害者那里窃取的数据
- 避免安装端点检测和响应 (EDR) 技术节点
- 为每个受害者定制有效载荷
- 删除日志文件以掩盖痕迹
- 收集文件、内存和域控制器的凭证
- 删除备份,包括影子副本
他们不会实际部署勒索软件程序,直到他们对环境有深入的了解,渗透相关数据,获得特权账户的控制,建立后门,识别所有系统、服务器、应用程序和备份。他们还通过在线聊天支持受害者,并在攻击前对受害者进行财务分析。
有消息称,Darkside对于已经在纳斯达克或其他股市上市的公司,试图通过网络攻击做空,使股价下跌,增加受害者的压力。
4月20日,DarkSide该网站公开写道:“我们的团队和合作伙伴加密了纳斯达克和其他证券交易所上市公司的许多数据。如果公司拒绝支付赎金,我们将发布攻击性信息,从而在股票减持价格中获利。”
RaaS:服务是勒索软件
2020年8月,DarkSide发布了RaaS(勒索软件就是服务),包括提供10%-25%收入的附属计划。Colonial Pipeline该集团已恢复运营,但从那时起,该集团一直瞄准其他公司,包括建筑公司和美国其他行业的经销商。
跟踪网络安全公司和研究机构,UNC2465、UNC2628和UNC2659被认为是DarkSide主要附属机构之一。
在某些事件中,UNC2465用来部署除DarkSide有时甚至勒索软件以外的恶意软件DarkSide RaaS(勒索软件即服务)不再运行,一些支持基础设施仍在运行,可以提供恶意软件。
根据安全公司的火眼(FireEye)称,UNC2628组织已经与其他RaaS供应商形成联盟,比如臭名昭著REvil和Netwalker。
还监测到火眼UNC2465、UNC2628基于钓鱼邮件和合法服务的植入PowerShell的后门SMOKEDHAM.NET。火眼还报告了一个LNK它链接到的文件URL是电子商务服务平台Shopify。但目前DarkSide尚未公布对Shopify的动作。
另一家网络安全公司RiskIQ还发现了一个LNK同样链接到文件Shopify,而且链接重定向后还是Shopify链接,链接指向的第三个链接,包接中Shopify托管主机SMOKEDHAM.NET后门。该后门可以执行键盘记录、屏幕截图和执行任意.NET命令。
6月17日,火眼也报道了UNC2465组织对一家名称Dahua供应链攻击由安供应链攻击。UNC2465植入恶意代码Dahua SmartPSS Windows在应用程序中,火眼推测UNC2465软件安装包可以木马化。
一旦后门部署在以前的攻击中,UNC2465将在24小时内建立一个NGROK并横向移动隧道。五天后,UNC2465攻击者将返回并部署键盘记录器等其他工具Cobalt Strike BEACON,并通过转储LSASS内存收集凭证。
专家提醒,一个全面的安全项目需要适应不断变化的安全环境。UNC2465攻击模式的转变令人担忧,从网站访问者的挂马攻击或电子邮件钓鱼攻击到软件供应链攻击,对威胁检测提出了新的挑战。Colonial Pipeline输油管道攻击后,很多企业更注重外围防御和双重身份验证,但对端点的监测往往被忽视或只采用传统的病毒防御手段。