逐利网络黑客,劫富济贫的罗宾汉,俄罗斯背景的地缘政治攻击者。以上就是DarkSide勒索软件团伙在公众面前的“人设”。在今年5月袭击美国石油管道公司ColonialPipeline后,DarkSide一炮走红。众人的目光都聚集在了这个发现不到一年的新组织身上。据网络安全技术公司Cyber??eason称,DarkSide勒索软件组织是一个有组织的攻击者团体,他们通过勒索实体企业和向其他犯罪分子出售勒索软件工具来赚钱。DarkSide于2020年8月首次被发现,该组织的地理位置和背景尚未确定。但美国总统拜登在白宫新闻发布会上表示,该组织得到了俄罗斯的支持。Cyber??eason还指出,DarkSide此前并没有攻击过总部位于俄罗斯和其他前苏联国家的公司。但在ColonialPipeline遭到袭击后,美国执法部门加强了对DarkSide的审查,当月DarkSide宣布停止运营。DarkSide曾公开表示,“我们(组织)是非政治性的,与地缘政治无关,不要将我们与特定政府联系起来揣测动机。”Cyber??eason“边界感”勒索的首席安全官SamCurry表示,DarkSide在进行勒索软件攻击时似乎具有“边界感”,其主要目标是英语国家的营利性公司。例如,它告诉客户避开医院、疗养院、学校、非营利组织和政府机构等组织。DarkSide还在2020年8月发布的一份公开声明中表示,“我们的目标是赚钱,而不是给社会制造问题。”在声明中,它承诺不攻击医院、学校、政府机构、非营利组织和商业组织。该组织甚至声称已将勒索所得的部分收益捐赠给慈善机构,特别是两笔各10,000美元的基金。但ThreatIntelligenceCompanyAnalysts的首席安全策略师JonDiMaggio表示,这更像是一种提高认识的公关噱头。DiMaggio说:“当Darkside宣布要捐赠时,全世界几乎所有的在线新闻媒体都报道了它,这基本上是一场20,000美元的营销活动,让它出名。该组织的成员似乎有很强的“自尊”,这就是他们发布新闻稿并与媒体和研究人员保持微妙联系的原因。《DarkSide家族史》DarkSide最初只有一名黑客,受雇于臭名昭著的勒索软件服务商REvil,在REvil积累了网络犯罪经验后,开发了与REvil共享代码的勒索软件新变种。2020年11月,DarkSide开始雇佣自己的分支机构来执行攻击的某些阶段,包括执行攻击的有效载荷。大型公司和组织。DarkSide通过其附属机构将其勒索软件产品出售给合作伙伴,合作伙伴随后可以从其他黑客那里购买这些产品。组织访问以部署实际的勒索软件。Kuskov表示,该勒索软件产品适用于Windows和Linux。DarkSide有严格的基于这两个版本的加密方案,没有密钥基本无法解密,之前DarkSide提供受害者的密钥相同,所有安全人员开始尝试构建自己的解密工具,以帮助受害者恢复文件和数据。但是现在DarkSide已经意识到了这个漏洞,所以下一个受害者就不能通过这种方式“自救”了。一家安全公司得出的结论是,DarkSide非常有耐心,组织严密,并且对受害者有深入的了解,包括他们的技术设施和任何安全技术弱点。DarkSide不同于其他网络犯罪集团,因为他们使用非常复杂和隐秘的策略来感染和勒索受害者。他们的策略包括:使用复杂的混淆技术来逃避基于签名的检测机制利用TOR向远程服务器发送命令和控制消息以逃避检测利用伊朗的分布式存储系统存储从受害者那里窃取的数据避免节点安装端点检测和响应(EDR)技术为每个受害者量身定制有效负载删除日志文件以覆盖跟踪从文件、内存和域控制器中收集凭证删除备份,包括卷影副本在他们对勒索软件程序建立深入了解之前,他们实际上并没有部署勒索软件程序环境、泄露相关数据、获得特权帐户的控制权、建立后门并识别所有系统、服务器、应用程序和备份。他们还通过网络聊天为受害者提供支持,并在发起攻击之前对受害者进行财务分析。据悉,Darkside正在利用新技术针对已经在纳斯达克或其他股票市场上市的公司,试图通过网络攻击做空公司,导致公司股价下跌,增加受害人的压力。4月20日,DarkSide的数据泄露网站公开表示:“我们的团队和合作伙伴对许多在纳斯达克和其他证券交易所上市的公司的数据进行了加密。如果公司拒绝支付赎金,我们准备公布攻击信息,以减持股票的价格获利。”RaaS:勒索软件即服务2020年8月,DarkSide发布了RaaS(勒索软件即服务),其中包括提供10%至25%收入的附属计划。虽然ColonialPipeline已恢复运营,但该集团此后将目标瞄准了其他公司,包括建筑公司和其他美国行业分销商。经网络安全公司和研究机构跟踪,UNC2465、UNC2628和UNC2659被认为是DarkSide的主要附属机构之一。在一些事件中,UNC2465被用来部署DarkSide勒索软件以外的恶意软件,有时即使DarkSideRaaS(勒索软件即服务)不再运行,一些支持基础设施仍在运行并可以传播恶意软件。据安全公司FireEye称,UNC2628组织已与其他RaaS提供商结成联盟,例如同样臭名昭著的REvil和Netwalker。火研还检测到UNC2465和UNC2628利用钓鱼邮件和合法服务植入基于PowerShell的后门SMOKEDHAM.NET。Huoyan还报告了一个LNK文件,该文件链接到电子商务服务平台Shopify的URL。不过,DarkSide尚未宣布对Shopify采取的行动。另一家网络安全公司RiskIQ也发现了一个LNK文件,该文件也链接到Shopify,重定向后链接仍然是Shopify的链接。此链接指向的第三个链接包含托管在Shopify主机上的SMOKEDHAM.NET后门。.后门可以执行键盘记录、屏幕截图和执行任意.NET命令。火眼网6月17日还报道称,UNC2465组织对一家名为大华的安防厂商发起了供应链攻击。UNC2465在大华SmartPSSWindows应用程序中植入了恶意代码,火眼推测UNC2465可能对其软件安装包进行了木马化处理。在以往的攻击中,一旦部署后门,UNC2465会在24小时内建立一条NGROK隧道并横向移动。五天后,UNC2465攻击者会卷土重来并部署其他工具,例如键盘记录器、CobaltStrikeBEACON,并通过转储LSASS内存来收集凭据。专家警告说,全面的安全计划需要适应不断变化的安全环境。UNC2465攻击方法的转变令人担忧,从对网站访问者的拖钓攻击或电子邮件网络钓鱼攻击到软件供应链攻击,对威胁检测提出了新的挑战。尽管许多企业在ColonialPipeline攻击后更加关注边界防御和双因素身份验证,但端点监控往往被忽视或仅诉诸传统病毒防御。
