Vědci sdílejí informace o vypuknutí kybernetického gangu

Vědci sdílejí informace o vypuknutí kybernetického gangu

V návaznosti na útok na koloniální plynovod ransomware – který pokračuje narušit dodávky paliva v celé východní a jižní USA – hrozba vědci z celého cyber společenství, byly vyměňovat informace o DarkSide ransomware gang, up-a-nadcházející cyber zločinecké skupiny, která se náhle ocitla povýšen na globální hanby.

První prasknutí na scénu v srpnu 2020, kdy získala určitou míru poznámky darování části výkupného charitativním organizacím, DarkSide je (pravděpodobně Rusko-based) média-důvtipný skupina, která chápe, jak se kybernetické bezpečnosti “hra” se hraje, a dělá ctnost z nutnosti “ctihodný” pověst, tak daleko, jak je to možné v kybernetickém podsvětí.

Jasně, říkají vědci, jeho provozovatelé rádi sami sebe vidět jako swashbuckling loupežníky, Robin Hood typy, kteří vyloupit od bohatých a dát k chudým, i když samozřejmě je to self-aggrandising nesmysl, a hraniční bludy narcismus.

Ale zajímavé je, že na rozdíl od více obvyklých pozornost-hledat chování vystavoval jiné ransomware syndikáty, DarkSide skupina byla snaží se distancovat od útoku, provádění zjevného omezení poškození PR cvičení, uvolnění prohlášení v rozbité angličtině v tom smyslu, že jeho cílem je “vydělat peníze, a ne vytvářet problémy pro společnost”. Z této linie není jasné, co přesně jsou myslel jsem, že dělají až do teď.

DarkSide také tvrdil, že útok na Colonial Pipeline byl affiliate, a že by v budoucnu více hlídal výběr cílů svých partnerů, aby se “vyhnul sociálním důsledkům”. Opět není jasné, co přesně si skupina myslela, že důsledky jejích dalších útoků skutečně byly.

Sophos Sean Gallagher, Mark Loman a Peter Mackenzie – který se potýkal s několika DarkSide oběti prostřednictvím firmy incident response service – řekl backpedalling byl pravděpodobně důsledkem potenciálně větší reálný dopad jejich affiliate útok na Colonial Pipeline.

“To má zřejmě udělal DarkSide operátorů více známý, než jsou pohodlné s,” řekli v nově zveřejněné zprávě.

“Gang dříve slíbil, že ušetří zdravotnické organizace, stejně jako další zapojené do distribuce vakcín, kvůli negativní pozornosti, kterou by takové útoky mohly přinést z domovské země gangu. Ale protože, jak DarkSide provozuje, to není jasné, jak velkou kontrolu strážci DarkSide značky mají více poboček, kteří skutečnou práci z vloupání do sítí a zahájení jejich ransomware.”

Vědci FireEye MandiantaJordan Nuce, Jeremy Kennelly, Kimberly Goody, Andrew Moore, Alyssa Rahman, Brendan McKeague a Jared Wilson dodal: “nedávný update do svých podzemních forum reklama také uvádí, že herci se může pokusit o DDoS [distributed denial of service] organizace obětí.

“Herec ‘darksupp’ uvedl, že pobočky mají zakázáno cílení nemocnice, školy, univerzity, neziskové organizace a subjekty veřejného sektoru.

“Může to být snaha aktérů odradit donucovací opatření, protože cílení na tato odvětví může vyžadovat další kontrolu. Pobočky jsou také zakázány od zaměření organizace ve Společenství Nezávislých Států (SNS) národů.”

I přes svou náhlou zdrženlivost, DarkSide má až teď následoval ve stopách dalších slavných dvojité vydírání ransomware gangy, jako REvil/Sodinokibi, Bludiště a LockBit, exfiltrating dat a hrozí uvolnění, pokud oběť nezaplatí. To se provádí prostřednictvím blogu přístupného Tor. Je však známo, že dělá poměrně vysoké požadavky – jedna Sophos angažovanost byla s obětí, která byla vydírána za 4 miliony dolarů(nezaplatili).

FireEye Mandiant tým dodal, že gang má pobočky, získat 25% podíl z výkupného poplatky za hity, které v důsledku plateb za $500,000, a pokles do 10% pro platby přes $5m.

Mnohostranná vydírací operace

Mandiant tým řekl, že bylo jasné, že DarkSide gang se stává velmi zdatný v “mnohostranné vydírání operace”. Poznamenala nedávné zveřejnění informací, které naznačují, že DarkSide by se zaměřil na NASDAQ a další společnosti kótované na burze únikem svých útoků na přátelské obchodníky předem aby mohli oběti zkrátit a zisk z jakéhokoli dopadu na cenu akcií.

“V další pozoruhodný příklad,” říkali, “útočník byl schopen získat oběti kybernetické pojištění a zadlužuje tuto informaci během ransom proces vyjednávání, odmítá nižší výkupné částky, vzhledem k jejich znalosti politiky limitů.

“To posiluje, že během post-fáze využívání ransomware, incidenty, hrozby aktéři se mohou zapojit do interní průzkum a získání dat ke zvýšení jejich vyjednávací síly. Očekáváme, že taktika vydírání, kterou aktéři hrozby používají k nátlaku obětí, se bude i nadále vyvíjet v průběhu roku 2021.”

Taktika, techniky a postupy

Mohou být inovátory v některých ohledech, ale pro obránce týká zastavení DarkSide útok, než se to stane, vědci se shodují, že Dobrá parta je technologický taktiky, technik a postupů (TTPs) také odrážejí jiných ransomwares, obsahující směs nativní funkce systému Windows, komoditní malware a off-the-police červené nástroje, jako jsou Kobalt Strike.

Gang outsourcuje kompromis a nasazení specialistům na pronikání do sítě, kteří pak odkazují operaci zákaznického servisu zpět na hlavní operátory. Sophos tým domnívá, že tyto pobočky jsou pravděpodobné, že žoldáci, kteří poskytují stejnou službu DarkSide vrstevníky. FireEye Mandiant to potvrdil s tím, že věří, že pobočky byly také spojeny s Babuk a REvil.

“Sophos zkušeností v datové forenzní incidentů a reakci na DarkSide útoky, počáteční přístup k cílové síti přišla především v důsledku phishingu pověření,” řekl Sophos tým. “To není jediný způsob, jak útočníci ransomware mohou získat oporu, ale zdá se, že je převládající v případech zahrnujících tento typ ransomwaru, možná v důsledku preferencí přidružených společností.”

Mandiant řekl, že také viděl vykořisťování CVE-2021-20016, zranitelnost SQL injection v produktu SonicWall SSLVPN SMA100, která umožňuje neověřenému útočníkovi provádět dotazy SQL pro přístup k uživatelským jménům, heslům a dalším informacím souvisejícím s relací (pokud jste uživatel SonicWall, měli byste to opravit).

Mandiant sleduje aktivitu DarkSide ve třech různých shlucích různých skupin-definuje je jako UNC2628, UNC2659 a UNC2465 – které používají různé metody stanovení perzistence. Mezi další nástroje, UNC2628 podporuje Cobalt Strike rámec a MAJÁK náklad, někdy se používá Mimikatz pro pověření krádeže a kapalin, a dokonce nasazeny F-Secure je vlastní velení a kontrolní rámec. Mezitím, UNC2659 používá TeamViewer stanovit vytrvalost, a UNC2465, nejstarší clusteru činnosti spojené s DarkSide, přináší PowerShell-založené .NET backdoor známý jako SMOKEDHAM.

Jednou ustavený, Sophos inteligence má gang je doba prodlevy v průměru 45 dnů, ale to bylo známo, kick zpět až na 88 dní, během kterých to krade jako hodně dat jak je to možné, často cílení na více oddělení uvnitř oběť organizace – účetnictví a výzkum a vývoj (R&D) jsou obzvláště oblíbené.

Gang se pohybuje uvnitř oběť sítě pomocí PSExec a vzdálená plocha připojení – SSH na Linux server a nahraje jeho poklad na cloudová úložiště Mega nebo pravda. Oběti jsou vydírány v bitcoin nebo monero-Sophos poznamenává, že gang nepřijímá oblíbený dogecoin Elona Muska.

“Zatímco některé nedávné cílené ransomware operace z jiných gangů se objevily rychle, zahájení jejich útoku během několika dní, herci za DarkSide kampaně mohou strávit několik týdnů až měsíců šťourat uvnitř organizace sítě před aktivací jejich ransomware náklad,” řekl Sophos tým.

Share

Leave a Reply

Your email address will not be published.