DarkSide: Новият насочен зловреден код от типа ransomware рекетира за милиони долари.

Нов ransomware , наречен DarkSide, започна перосонализирани нападения над организации по-рано този месец, като престъпниците за няколко седмици са спечелили  милиони долари.

Някъде около 10 август 2020 г., новата акция за заразяване със злонамерен софтуер за откуп, започна да извършва целенасочени атаки срещу множество компании.

В „прессъобщение“, направено  от престъпниците, те твърдят, че са бивши „служители“, които са изкарвали милиони долари, като са работили за други банди, занимаващи се с киберпрестъпна дейност.

След като не намерили  „продукт“, който да отговаря на техните нужди, те решили да стартират собствена операция.

„Ние сме нови на пазара, но това не означава, че нямаме опит и сме дошли от нищото. Заработихме милиони долари печалба, като си партнираме с други известни ransomware оператори. Създадохме DarkSide, защото не намерихме перфектния продукт за нас. Сега го имаме “.

DarkSide заявяват, че не искат да убият нечий бизнес, а просто да получат пари.

Бандата  заявява също , че не насочва атаки  към следните видове организации:

Медицина (болници, хосписи).

Образование (училища, университети).

Не-правителствени Организации.

Държавен сектор.

Рано  е да се каже дали ще спазят това обещание.

Според специалисти, наблюдаващи новата заплаха,  исканията за откуп на DarkSide варират от 200 000 до 2 000 000 долара. Тези числа вероятно могат да бъдат повече или по-малко в зависимост от жертвата и нейният потенциал.

Поне една от жертвите доказано е заплатила повече от един милион долара откуп.

DarkSide краде данни, преди да криптира компютрите на жертвата

Подобно на други атаки с ransomware , управлявани от хора, когато операторите на DarkSide атакуват дадена мрежа, те се разпространяват флангово по цялата мрежа, докато не получат достъп до администраторски акаунт и Windows домейн контролера.

Докато те се разпростират по фланговете, нападателите събират некриптирани данни от сървърите на жертвата и ги качват на собствените си устройства. След това тези откраднати данни се публикуват в сайт за изтичане на данни под техен контрол и се използват като част от опита за изнудване.

Когато данните са публикувани, участниците в заплахата посочват името на компанията, датата, на която са проникнали и овладели мрежата, колко данни са били откраднати, скрийншоти  и видовете открадната информация.

DarkSide заявява, че ако жертвата не плати, ще публикува всички данни на уебсайта си най-малко за шест месеца. Тази стратегия за изнудване е предназначена да изплаши жертвата да плати откупа, дори ако данните могат да се възстановят от резервни копия.

Ако жертвата плати откупа, DarkSide заявява, че ще премахне откраднатите данни от сайта си.

Споменатите по-горе анализатори и наблюдатели от сферата на киберсигурността заявяват, че при плащане на откупа, информацията за съответните фирми наистина се премахва от сайта.

Атаки  персонализиран ransomware

При извършване на атаки, DarkSide създава персонализиран софтуер за извличане на данни  за всяка конкретна компания, която атакуват.

Когато се изпълни, ransomware ще пристъпи към  команда PowerShell, която изтрива Shadow Volume Copies в системата, така че да не могат да бъдат използвани за възстановяване на файлове. След това се преминава към прекратяване на различни бази данни, офис приложения и пощенски клиенти, за да се подготви машината за криптиране.

Когато криптира компютри, DarkSide избягва прекратяването на някои процеси.

vmcompute.exe

vmms.exe

vmwp.exe

svchost.exe

TeamViewer.exe

explorer.exe

Избягвнето на прекратяването на TeamViewer е рядко срещано. Това може би е знак, че престъпниците използват програмата за овладяване на компютъра и отдалечен достъп до него.

Майкъл Гилеспи, който анализира процеса на криптиране, заявява, че се използва ключ SALSA20 за криптиране на файлове. След това този ключ се криптира с публичен ключ RSA-1024, включен в изпълнимия файл.

Всяка жертва има персонализирано разширение, създадено с помощта на персонализирана чексума  на MAC адреса й.

Всичко това е особено обезпокоително. Престъпниците напредват все повече и повеече в опитите си успешно да завладяват мрежи и използват персонализирани атаки, за които традиционните решения за киберзащита нямат адекватен отговор.

Това прави още по-важно използването на модерно решение като Panda Adaptive Defense 360, което съчетава в себе си качествен антивирус и модерно EDR решение, което следи стартираните процеси в мрежата на клиента в реално време и спира всичко непознато, включително и DarkSide.

Източник: По материали от интернет