DarkSide 是一种勒索软件威胁,至少从 2020 年 8 月开始运行,并被用于对位于佐治亚州的 Colonial Pipeline 的网络攻击,导致美国东海岸的燃料供应严重中断。该恶意软件通过附属程序作为服务提供给不同的网络犯罪分子,并且与其他多产的勒索软件威胁一样,采用双重勒索,将文件加密与数据盗窃相结合,并使用手动黑客技术部署在受感染的网络上。
在最近的一份报告中,威胁情报公司 Flashpoint 的研究人员表示,他们认为“DarkSide 勒索软件背后的威胁行为者来自俄罗斯,很可能是REvil RaaS [勒索软件即服务] 组织的前附属机构。”
一个主张道德原则的精通公关的团体
研究人员认为,DarkSide 的创建者最初自行开展了所有有针对性的攻击活动,但几个月后,他们开始向其他团体提供他们的勒索软件,并在俄语地下论坛上进行营销。在他们的发布公告中,他们声称过去通过与其他知名密码锁(勒索软件程序)合作已经赚取了数百万美元的利润。
该组织鼓励新闻记者在其网站上注册以接收有关违规和非公开信息的预先信息,并承诺 24 小时快速回复任何媒体问题。他们还邀请数据解密公司与他们合作,帮助没有大型 IT 部门的受害者在付款后解密他们的数据。
该组织还声称,由于其“原则”,它不会攻击医疗设施、COVID 疫苗研究和分销公司、葬礼服务、非营利组织、教育机构或政府组织。
在 Colonial Pipeline 遭到攻击后,该组织发表声明称,今后它将审查其附属公司遭到破坏的受害者及其打算加密的数据:
“我们不关心政治,我们不参与地缘政治,不需要将我们与特定政府联系起来,也不需要寻找其他动机。我们的目标是赚钱,而不是给社会制造问题。从今天开始,我们引入节制和检查我们的合作伙伴希望加密的每家公司,以避免将来造成社会后果。” [原文如此]
10 月,该组织还声称将部分勒索资金捐赠给慈善机构,并张贴了两笔 10,000 美元捐款的证明。
根据这些通信,很明显该组织想要并知道如何吸引人们对其自身及其活动的关注,可能是为了获得更多的附属机构,但研究人员警告说,他们的说法尚未得到证实,实际上具有欺骗性。例如,如果证明慈善组织收到了从非法活动中获得的资金,这些资金将被没收或退还。尽管该组织表示不会攻击教育机构,但它确实攻击了一家处理学校数据的公司。当该公司拒绝支付赎金时,攻击者通过电子邮件向受影响的学校发送电子邮件,警告他们儿童和学校员工的个人信息可能会泄露,从而向受害组织施加压力。
Flashpoint 研究人员表示,有关捐赠和不针对某些类型组织的说法尚未得到证实,“应该受到更严格的审查;这些 DarkSide 运营商远非第一批提出此类主张但没有跟进的网络犯罪分子” .
DarkSide 如何破坏网络
DarkSide 及其附属机构与近年来困扰企业的其他多产勒索软件团体一样,遵循相同的人为操作的勒索软件部署模型。这意味着攻击者可以通过多种方法访问网络,包括窃取凭据,然后采用手动黑客技术,以及使用各种系统管理或渗透测试工具来执行横向移动。
目标是映射网络以识别关键服务器、提升权限、获取域管理凭据、禁用和删除备份、泄露敏感数据,并且仅当地形全部设置好时,一次性将勒索软件部署到尽可能多的系统。这种谨慎而有条不紊的方法比勒索软件程序更有效,也更难防御,勒索软件程序通过使用可能会失败和跳闸检测机制的内置例程自动通过网络传播。
“关于 DarkSide 的分支机构,勒索软件的交付方式存在重叠,包括分支机构通过利用 Citrix、远程桌面 Web (RDWeb) 或远程桌面协议 (RDP) 等易受攻击的软件获得初始网络访问权限,执行横向移动,以及在最终部署勒索软件之前泄露敏感数据,”安全公司 Intel471 的研究人员在一份报告中说。
每个 DarkSide 分支机构都可以采用不同的策略来获得最初的立足点。这些类似于其他勒索软件组织使用的技术:从地下市场购买被盗凭证,执行暴力密码猜测或凭证填充攻击,购买对已感染僵尸网络 恶意软件(如 Dridex、TrickBot或 Zloader)的机器的访问权限,或发送带有恶意附件的电子邮件,这些附件部署了某种类型的轻型恶意软件加载程序。
Intel471 观察到的一名 DarkSide 攻击者从网络访问代理处获取初始访问凭据,然后使用 Mega.nz 文件共享服务窃取数据,使用 PowerShell 后门在网络中持久存在并部署 KPOT 信息窃取恶意软件和 DarkSide 勒索软件. 另一家分支机构公开招募“渗透测试人员”,利用 VPN 和已获得的网络访问权限进行横向移动并部署勒索软件。
常用于横向移动活动的第三方和开源工具包括 PowerShell 脚本、Cobalt Strike 和Metasploit渗透测试框架、Mimikatz密码转储工具和 BloodHound 可视化工具,它们可以帮助攻击者发现模糊的攻击路径和关系以进行利用在 Active Directory 环境中。已经是 Windows 一部分的工具(如 Certutil.exe 和 Bitsadmin.exe)也被滥用。
这种在陆地上生活的方法包括使用系统管理员和网络防御者也使用的有效凭证和工具,使得这些人为操作的勒索软件攻击在没有高级网络监控的情况下很难检测到。
DarkSide 勒索软件的工作原理
DarkSide 勒索软件本身使用 Salsa20 和 RSA-1024 来加密受害者的文件,据报道还有一个 Linux 版本。当部署在 Windows 上时,恶意软件首先检查系统的语言设置,如果它是位于前苏联集团或其势力范围内的国家的语言,它就会避免加密数据。这是典型的恶意软件,由位于该地区的团体创建,他们希望通过不攻击当地组织来避免引起地方当局的注意。
据 Cybereason 的研究人员称,该恶意软件随后会停止名称中包含以下术语的服务:vss、sql、svc、memtas、mepocs、sophos、veeam 或 backup。这些是与备份操作相关的进程,例如 Windows 卷影复制服务 (VSS) 或安全产品。然后它继续枚举正在运行的进程并终止它们,以便它可以解锁它们正在访问的文件以加密它们。它还使用 PowerShell 命令删除所有已创建的卷影副本,这些副本可用于恢复文件。
DarkSide 勒索软件为每个受害者创建一个唯一的 ID,并将其添加到加密文件的文件扩展名中。赎金金额可能从几十万美元到数百万美元不等,具体取决于攻击者确定的受害者的规模及其年收入。
Intel471 的研究人员表示:“2021 年 3 月,开发商推出了许多新功能,以吸引新的附属公司。” “这些版本包括针对基于 Microsoft Windows 和 Linux 的系统的版本、增强的加密设置、直接内置于管理面板中的成熟和集成功能,使附属机构能够安排旨在迫使受害者支付赎金的电话,以及启动分布式拒绝服务 (DDoS)。”
此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,技术服务号(data966)进行免费咨询获取数据恢复的相关帮助。
