勒索組織DarkSide“發家史”
責編:gltian |2021-06-23 13:19:14唯利是圖的網絡黑客、劫富濟貧的羅賓漢、俄羅斯背景的地緣政治攻擊者。
以上是DarkSide勒索軟件集團在大眾面前凹的“人設”。
自今年5月攻擊美國輸油管道公司Colonial Pipeline之后,DarkSide“一炮而紅”。大眾的目光紛紛聚集到這個被發現不到1年的新組織。
網絡安全技術公司Cybereason稱,DarkSide 勒索軟件集團是一群有組織的攻擊者,他們通過勒索實體企業以及向其他犯罪分子出售勒索軟件工具賺錢。
DarkSide于 2020 年 8 月被首次發現,組織的地理位置和背景尚未被證實。但美國總統拜登在白宮新聞發布會上稱,該組織是俄羅斯背景。Cybereason也指出,DarkSide此前未攻擊過總部設在俄羅斯等前蘇聯國家的企業。
但在2021年5月攻擊美國輸油管道公司Colonial Pipeline之后,DarkSide曾公開表示,“我們(組織)是非政治性的,和地緣政治無關,不要把我們與某個具體的政府聯系在一起推測動機。”
勒索的“邊界感”
Cybereason首席安全官Sam Curry表示,DarkSide在實施勒索攻擊時似乎有一種“邊界感”,其主要目標是英語國家的營利性公司。例如,它會告訴客戶避開醫院、療養院、學校、非營利組織和政府機構等組織。
DarkSide也曾在2020年8月發布的一紙公開聲明中稱“我們的目標是賺錢,而不是為了社會制造問題。”它在聲明中承諾不攻擊醫院、學校、政府機構、非營利組織和非商業組織。
該組織甚至宣稱,已經將部分勒索所得的收入捐贈給慈善機構,具體為兩筆分別為1萬美元的資金。
但威脅情報公司分析師的首席安全策略師喬恩·迪馬吉奧(Jon DiMaggio)表示,這更像一種公關花招以提高知名度。
迪馬吉奧說:“當Darkside宣稱要捐款時,幾乎全球的網絡新聞媒體都對此做出了報道,這基本上是一個2萬美元成本的營銷,讓它名聲大噪。該組織的成員似乎有很強的‘自尊心’這也是他們為什么會對外發布新聞稿、與媒體和研究員保持微妙聯系的原因。”
DarkSide“發家史”
DarkSide最初只有一名黑客,受雇于臭名昭著的勒索軟件服務提供商REvil。這名黑客在REvil習得網絡犯罪經驗后,自行開發了與 REvil 共享代碼的勒索軟件新變種。
2020年 11 月,DarkSide 開始雇傭自己的分支機構進行某些階段的攻擊,包括執行攻擊的有效載荷。
卡巴斯基公司威脅勘探主管弗拉基米爾·庫斯科夫(Vladimir Kuskov)曾對媒體表示,DarkSide純粹出于利潤驅動,執著于“大獵殺”,其目標為大型公司和組織。通過其關聯關系,DarkSide 將其勒索軟件產品出售給合作伙伴,合作伙伴隨后可以從其他黑客那里購買組織訪問權限,以此部署實際的勒索軟件。
庫斯科夫說,勒索軟件產品適用于Windows和Linux。DarkSide根據這兩個版本都有嚴密的加密方案,如果沒有密鑰基本無法解密。
此前,DarkSide 給受害者提供的密鑰都相同,所有安全人員開始嘗試自建解密工具來幫助受害者恢復文件和數據。但現在DarkSide已經意識到了這一缺陷,所以接下來的受害者無法通過這一途徑“自救”。
有安全公司總結,DarkSide組織極有耐心,組織嚴密,對受害者有深入了解,包括其技術設施和任何安全技術弱點。
DarkSide與其他網絡犯罪集團不同的是,他們使用非常復雜和隱秘的策略來感染和勒索受害者。他們的策略包括:
使用復雜的模糊技術來規避基于簽名的檢測機制
利用?TOR 發送命令和控制消息到遠程服務器來規避檢測
利用在伊朗的分布式存儲系統存儲從受害者那里竊取的數據
避免安裝端點檢測和響應 (EDR) 技術的節點
針對每個受害者定制有效載荷
刪除日志文件以掩蓋蹤跡
從文件、內存和域控制器中收集憑據
刪除備份,包括影子副本
在建立對環境的深入了解、滲透相關數據、獲得特權帳戶的控制、建立后門并識別所有系統、服務器、應用程序和備份之前,他們不會實際部署勒索軟件程序。他們還通過網絡聊天向受害者提供支持,并在發起攻擊之前對受害者進行財務分析。
有消息稱,Darkside正采用全新技術針對已經在納斯達克或者其他股票市場上市的公司,試圖通過網絡攻擊手段做空企業,讓公司股價下跌,增加受害者的壓力。
4月20日,DarkSide的數據泄露網站上公開寫道:“我們的團隊和合作伙伴加密了許多納斯達克和其他證券交易所上市公司的數據。如果公司拒絕支付贖金,我們準備公布攻擊信息,從而在股票減持價格中獲利。”
RaaS:勒索軟件即服務
2020年8月,DarkSide發布了RaaS(勒索軟件即服務),其中包括一個提供10%至25% 收益的附屬計劃。雖然Colonial Pipeline已恢復運營,但此后該集團一直瞄準其他公司,包括建筑公司和美國其他行業經銷商。
經網絡安全公司及研究機構追蹤,UNC2465、UNC2628和UNC2659被認為是DarkSide的主要附屬機構之一。
在某些事件中,UNC2465用來部署除DarkSide勒索軟件以外的惡意軟件,有些時候即使DarkSide RaaS(勒索軟件即服務)不再運行,一些支持性的基礎設施仍在運行,可以提供惡意軟件。
據安全公司火眼(FireEye)稱,UNC2628組織已經與其他RaaS供應商形成聯盟,例如同樣臭名昭著的REvil和Netwalker。
火眼還監測到UNC2465、UNC2628利用釣魚郵件和合法服務植入一個基于PowerShell的后門SMOKEDHAM.NET。火眼還報告了一個LNK文件,它鏈接到的URL是電商服務平臺Shopify。但目前DarkSide尚未公布對Shopify的動作。
另一家網絡安全公司RiskIQ也發現了一個LNK文件,同樣鏈接到Shopify,并且該鏈接重定向后還是Shopify的鏈接,該鏈接指向的第三個鏈接,則包含在Shopify主機上托管的SMOKEDHAM.NET后門。該后門可以執行鍵盤記錄、屏幕截圖和執行任意.NET命令。
火眼在6月17日還報告過UNC2465組織對一家名為Dahua的安防廠商發起供應鏈攻擊。(https://cybersecurityworldconference.com/2021/06/17/unc2465-cybercrime-group-launched-a-supply-chain-attack-on-cctv-vendor/)UNC2465將惡意代碼植入Dahua SmartPSS Windows應用程序中,火眼推測UNC2465可能對其軟件安裝包進行木馬化。
在以往的攻擊事件中,一旦部署后門,UNC2465會在24小時內建立一個NGROK隧道并進行橫向移動。五天后,UNC2465攻擊者會回返并部署其他工具,如鍵盤記錄器、Cobalt Strike BEACON,并通過轉儲LSASS內存收集憑據。
專家提醒,一個全面的安全項目需要適應不斷變化的安全環境。UNC2465攻擊方式的轉變令人擔憂,從對網站訪問者的掛馬攻擊或郵件釣魚攻擊轉變為軟件供應鏈攻擊,對威脅檢測提出了新挑戰。雖然在Colonial Pipeline輸油管道攻擊之后,許多企業更加關注外圍防御和雙重身份驗證,但對端點的監測常常被忽視或只采用傳統的病毒防御手段。
來源:FreeBuf.COM