DarkSide quem está por trás dele

O ataque à Colonial Pipeline colocou o ransomware DarkSide no centro das atenções. Isso é o que já se sabe sobre os atores da ameaça e como eles operam.

DarkSide é uma ameaça de ransomware que está em funcionamento desde pelo menos agosto de 2020 e foi usada num ataque cibernético contra o Oleoduto Colonial, sediado na Geórgia, nos Estados Unidos, levando a uma grande perturbação no fornecimento de combustível ao longo da costa leste do país. O malware é oferecido como um serviço a diferentes criminosos através de um programa de afiliados e, tal como outras ameaças prolíficas de ransomware, emprega dupla extorsão que combina encriptação de ficheiros com roubo de dados e é implementado em redes comprometidas usando técnicas de hacking manual.

Num relatório recente, os investigadores da empresa de inteligência de ameaça Flashpoint disseram acreditar “que os agentes de ameaça por trás do ransomware DarkSide são de origem russa e são provavelmente ex-afiliados do grupo REvil RaaS [ransomware-as-a-service]”.

Um grupo experiente de relações públicas que reivindica princípios morais

Os investigadores acreditam que os criadores de DarkSide realizaram inicialmente todas as suas campanhas de ataque direcionadas sozinhos, mas passados alguns meses começaram a disponibilizar o seu ransomware a outros grupos e a comercializá-lo em fóruns clandestinos em língua russa. No anúncio de lançamento, alegaram já ter feito milhões de dólares em parceria com outros criptolockers (programas de ransomware) no passado.

O grupo encoraja os relatores a registarem-se no seu site para receberem informações prévias sobre violações e informações não públicas e promete respostas rápidas 24/7, a quaisquer perguntas dos meios de comunicação social. Também convidaram empresas de desencriptação de dados para se associarem para ajudar as vítimas que não têm grandes departamentos de TI a desencriptar os seus dados após o pagamento.

O grupo diz ainda que não ataca instalações médicas, empresas de investigação e distribuição contra a Covid, serviços funerários, organizações sem fins lucrativos, instituições de ensino ou organizações governamentais devido aos seus “princípios”.

Após o ataque ao Oleoduto Colonial, o grupo emitiu um comunicado dizendo que, a partir de agora, analisará as vítimas que as suas filiais comprometeram e cujos dados pretendem encriptar:

“Somos apolíticos, não participamos na geopolítica, não precisamos de nos ligar a um governo definido e procurar outras razões. O nosso objetivo é ganhar dinheiro, não criar problemas para a sociedade. A partir de agora introduzimos moderação e verificamos todas as empresas que os nossos parceiros querem encriptar para evitar consequências sociais no futuro.” [sic].

Em outubro, o grupo alegou ainda que está a doar uma parte dos fundos extorquidos a instituições de caridade e divulgou a prova de duas doações de 10 mil dólares.

Com base nestas comunicações, é claro que o grupo quer e sabe como chamar a atenção para si e para as suas atividades, provavelmente numa tentativa de ganhar mais afiliados, mas os investigadores alertam que as suas alegações não foram provadas e são, na verdade, enganosas. Por exemplo, se se provar que as instituições de caridade receberam dinheiro obtido de atividades ilegais, esses fundos serão apreendidos ou devolvidos. Apesar de o grupo alegar que não ataca instituições de ensino, atacou uma empresa que processava dados escolares. Quando a empresa se recusou a pagar o resgate, os agressores enviaram e-mails às escolas afetadas para pressionar a organização das vítimas, avisando-os de que as informações pessoais das crianças e funcionários da escola podiam ser divulgadas.

As alegações relativas a doações e a não visar determinados tipos de organizações não foram verificadas e “devem ser objeto de um elevado grau de controlo; estes operadores da DarkSide estariam longe dos primeiros cibercriminosos a fazer tais alegações e não avançar”, disseram os investigadores da Flashpoint, uma empresa especializada em Business Risk Intelligence (BRI).

Como o DarkSide compromete as redes

O DarkSide e as suas afiliadas seguem o mesmo modelo de implementação de ransomware operado pelo homem de outros prolíficos grupos de ransomware que têm atormentado empresas nos últimos anos. Isto significa que os atacantes têm acesso às redes através de uma variedade de métodos, incluindo credenciais roubadas seguidas de técnicas de hacking manual e usando uma variedade de ferramentas de administração do sistema ou de testes de penetração para realizar movimentos laterais.

O objetivo é mapear a rede para identificar servidores críticos, escalar privilégios, obter credenciais administrativas de domínio, desativar e eliminar backups, exalar dados sensíveis, e apenas quando o terreno estiver pronto, implementar ransomware para o maior número possível de sistemas ao mesmo tempo. Esta abordagem cuidadosa e metódica é muito mais eficaz e difícil de defender do que os programas de ransomware que se propagam automaticamente através das redes usando rotinas integradas que podem falhar e desarmar mecanismos de deteção.

“No que diz respeito às filiais DarkSide, existe uma sobreposição na forma como o ransomware foi entregue, incluindo afiliados que obtiveram acesso à rede inicial através da exploração de software vulnerável, como citrix, Remote Desktop Web (RDWeb) ou Remote Desktop Protocol (RDP), realizando movimentos laterais e exfiltrando dados sensíveis antes de implementar o ransomware”, disseram os investigadores da empresa de segurança Intel471 num relatório.

Cada afiliado DarkSide poderia usar diferentes táticas para ganhar uma posição inicial. São semelhantes às técnicas usadas por outros grupos de ransomware: comprar credenciais roubadas em mercados clandestinos, realizar ataques de senha de força bruta ou preencher credenciais, comprar acesso a máquinas que já estão infetadas com malware botnet, como Dridex, TrickBot ou Zloader, ou enviar e-mails com anexos maliciosos que implementam algum tipo de carregador de malware leve.

Um ator do DarkSide, notado pela Intel471, obteve credenciais de acesso iniciais de um corretor de acesso à rede e, em seguida, usou o serviço de partilha de ficheiros Mega.nz para exalar dados, usou uma porta traseira powerShell para persistir na rede, e implementou malware de roubo de informação KPOT juntamente com o ransomware DarkSide. Outra filial “Testadores de penetração” recrutados abertamente para usar VPNs e acesso à rede já obtidos para realizar movimentos laterais e implementar ransomware.

As ferramentas de código aberto de terceiros geralmente usadas para atividades de movimento lateral incluem scripts PowerShell, Cobalt Strike e Metasploit penetração quadros, a ferramenta de despejo de senha mimikatz, e a ferramenta de visualização BloodHound que pode ajudar os atacantes a descobrir caminhos de ataque obscuros e relações para explorar em ambientes de Diretório Ativo. As ferramentas que já fazem parte do Windows, como o Certutil.exe e a Bitsadmin.exe, também são abusadas.

Esta abordagem de viver fora do terreno que inclui o uso de credenciais e ferramentas válidas que também são utilizadas por administradores de sistemas e defensores de rede dificultam a deteção destes ataques de ransomware operados pelo homem sem monitorização avançada da rede.

Como funciona a rotina do ransomware DarkSide

O ransomware DarkSide em si usa salsa20 e RSA-1024 para encriptar ficheiros das vítimas e supostamente também tem uma versão Linux. Quando implementado no Windows, o malware verifica primeiro a definição da linguagem do sistema e, se é a língua de um país localizado no antigo bloco soviético ou a sua esfera de influência, evita encriptar os dados. Isto é típico de malware criado por grupos sediados na região e que querem evitar atrair a atenção das autoridades locais ao não chegarem a organizações locais.

De acordo com os investigadores da Cybereason, o malware interrompe os serviços que contêm os seguintes termos nos seus nomes: vss, sql, svc, memtas, mepocs, sophos, veeam ou backup. Estes são processos relacionados com operações de backup, tais como Windows Volume Shadow Copy Service (VSS) ou produtos de segurança. Em seguida, enumera os processos de execução e termina-os para que possa desbloquear os ficheiros a que estavam a aceder para os encriptar. Também utiliza um comando PowerShell para eliminar todas as cópias de sombra de volume já criadas que podem ser usadas para restaurar ficheiros.

O ransomware DarkSide cria um ID único para cada vítima e adiciona-o à extensão do ficheiro para os ficheiros encriptados. Os montantes de resgate podem variar significativamente de algumas centenas de milhares de dólares para milhões, dependendo do que os agressores determinaram ser o tamanho da vítima e o seu rendimento anual.

“Em março de 2021, os developers – DarkSide – lançaram uma série de novas funcionalidades num esforço para atrair novas afiliadas”, dizem os investigadores da Intel471. “Isto incluiu versões para direcionar os sistemas baseados no Microsoft Windows e Linux, definições de encriptação melhoradas, uma funcionalidade completa e integrada incorporada diretamente no painel de gestão que permitiu às filiais organizar chamadas destinadas a pressionar as vítimas a pagar resgates, e uma forma de lançar um ataque de negação de serviço (DDoS)”.




Deixe um comentário

O seu email não será publicado