Το νέο ransomware που ονομάζεται DarkSide άρχισε να επιτίθεται σε οργανισμούς νωρίτερα αυτό το μήνα. Οι προσαρμοσμένες του επιθέσεις έχουν ήδη κερδίσει εκατομμύρια δολαρία.

Από τις 10 Αυγούστου 2020, η νέα επιχείρηση ransomware άρχισε να πραγματοποιεί στοχευμένες επιθέσεις εναντίον πολλών εταιρειών.

Σε ένα “δελτίο τύπου” που εκδόθηκε από τους hackers, ισχυρίζονται ότι ήταν πρώην συνεργάτες που είχαν κερδίσει εκατομμύρια δολάρια σε συνεργασία με άλλες επιχειρήσεις ransomware.

Αφού δεν βρήκαν ένα “προϊόν” που να ταιριάζει στις ανάγκες τους, αποφάσισαν να ξεκινήσουν τη δική τους επιχείρηση.

“Είμαστε ένα νέο προϊόν στην αγορά, αλλά αυτό δεν σημαίνει ότι δεν έχουμε εμπειρία και ήρθαμε από το πουθενά. Λάβαμε κέρδη εκατομμυρίων δολαρίων συνεργαζόμενοι με άλλους γνωστούς κρυπτογραφητές. Δημιουργήσαμε το DarkSide επειδή δεν βρήκαμε το τέλειο προϊόν για εμάς. Τώρα το έχουμε.”

Το DarkSide δηλώνει ότι στοχεύουν μόνο εταιρείες που μπορούν να πληρώσουν τα καθορισμένα λύτρα καθώς δεν “θέλουν να σκοτώσουν την επιχείρησή σας”.

Οι παράγοντες απειλής δήλωσαν επίσης ότι δεν στοχεύουν τους ακόλουθους τύπους οργανισμών.

  • Ιατρικά (νοσοκομεία).
  • Εκπαίδευση (σχολεία, πανεπιστήμια).
  • Μη κερδοσκοπικοί οργανισμοί.
  • Κυβερνητικός τομέας.

Είναι πολύ νωρίς για να ξέρουμε εάν θα τηρήσουν αυτήν τη δήλωση.

Οι απαιτήσεις λύτρων του DarkSide κυμαίνονται από 200.000 έως 2.000.000 $. Αυτοί οι αριθμοί ενδέχεται να αλλάζουν λίγο πολύ ανάλογα με το θύμα.

Τουλάχιστον ένα από τα θύματα που εντόπισε το BleepingComputer φαίνεται να πλήρωσε λύτρα ένα εκατομμύριο δολάρια.

Το DarkSide κλέβει δεδομένα πριν κρυπτογραφήσει τα θύματα

Όπως και άλλες επιθέσεις ransomware που λειτουργούν χειροκίνητα, όταν οι χειριστές του DarkSide παραβιάζουν ένα δίκτυο, θα εξαπλωθούν πλευρικά σε ένα δίκτυο έως ότου αποκτήσουν πρόσβαση σε έναν admin λογαριασμό και στον Windows domain controller.

Ενώ εξαπλώνονται πλευρικά, οι εισβολείς θα συλλέξουν μη κρυπτογραφημένα δεδομένα από τους servers του θύματος και θα τα ανεβάσουν στις δικές τους συσκευές.

Αυτά τα κλεμμένα δεδομένα στη συνέχεια δημοσιεύονται σε έναν ιστότοπο διαρροής δεδομένων υπό τον έλεγχό τους και χρησιμοποιούνται ως μέρος της απόπειρας εκβιασμού.

Όταν δημοσιεύονται δεδομένα στον ιστότοπο διαρροής, οι απειλητικοί παράγοντες θα αναφέρουν το όνομα της εταιρείας, την ημερομηνία παραβίασής τους, πόσα δεδομένα κλέφθηκαν, screenshots των δεδομένων και τους τύπους κλεμμένων δεδομένων.

Το DarkSide δηλώνει ότι εάν ένα θύμα δεν πληρώσει, θα δημοσιεύσει όλα τα δεδομένα στον ιστότοπό του για τουλάχιστον έξι μήνες. Αυτή η στρατηγική εκβιασμού έχει σχεδιαστεί για να τρομάξει ένα θύμα να πληρώσει τα λύτρα.

Εάν ένα θύμα πληρώσει τα λύτρα, το DarkSide δηλώνει ότι θα αφαιρέσει τα κλεμμένα δεδομένα από τον ιστότοπό

του.

Για θύματα που έχουν ήδη πληρώσει τα λύτρα, τα δεδομένα τους έχουν ήδη αφαιρεθεί από τον ιστότοπο.

Προσαρμοσμένες επιθέσεις ransomware

Κατά την εκτέλεση των επιθέσεων, το DarkSide θα δημιουργήσει ένα προσαρμοσμένο ransomware εκτελέσιμο για τη συγκεκριμένη εταιρεία που επιτίθεται.

Όταν εκτελεστεί, το ransomware θα εκτελέσει μια εντολή PowerShell που διαγράφει Shadow Volume Copies στο σύστημα έτσι ώστε να μην μπορούν να χρησιμοποιηθούν για την επαναφορά αρχείων.

Σύμφωνα με το Vitali Kremez της Advanced Intel, προχωρά στη συνέχεια τερματίζοντας διάφορες βάσεις δεδομένων, εφαρμογές γραφείου και πελάτες αλληλογραφίας για να προετοιμάσει τον υπολογιστή για κρυπτογράφηση.

Κατά την κρυπτογράφηση ενός υπολογιστή, το DarkSide θα αποφύγει τον τερματισμό ορισμένων διαδικασιών.

Συγκεκριμένα, το TeamViewer χρησιμοποιείται για απομακρυσμένη πρόσβαση στους υπολογιστές.

Προς το παρόν, φαίνεται να μην υπάρχει τρόπος ανάκτησης των αρχείων δωρεάν.

Πιθανή σύνδεση με το REvil

Κατά την ανάλυση του DarkSide, ανακαλύφθηκε ότι έχει κάποιες ομοιότητες με το ransomware REvil.

Η πιο προφανής ομοιότητα είναι τα σημειώματα για λύτρα που χρησιμοποιούν σχεδόν το ίδιο template, όπως φαίνεται στο παρακάτω σημείωμα του REVIL ransomware.

Στη συμπεριφορική ανάλυση του DarkSide, παρατηρήθηκε ότι εκτελούσε ένα κωδικοποιημένο script PowerShell όταν έτρεξε για πρώτη φορά.

Όταν απενεργοποιείται, μπορούμε να δούμε ότι αυτή η εντολή PowerShell χρησιμοποιείται για τη διαγραφή των Shadow Volume Copies στο μηχάνημα πριν την κρυπτογράφηση.

Η χρήση του PowerShell για την εκτέλεση της παραπάνω εντολής είναι η ίδια μέθοδος που χρησιμοποιείται από το REvil.

Τέλος, το MalwareHunterTeam διαπίστωσε ότι το DarkSide αποφεύγει σκόπιμα να μολύνει θύματα σε χώρες CIS. Ο κώδικας για να γίνει αυτό είναι παρόμοιος με αυτό που χρησιμοποιείται στο REvil και επίσης στο GandCrab.