O ataque Colonial Pipeline colocou o ransomware DarkSide no centro das atenções. Isso é o que se sabe sobre os atores da ameaça e como eles operam.
DarkSide é uma ameaça de ransomware que está em operação desde pelo menos agosto de 2020 e foi usada em um ciberataque contra Colonial Pipeline, em sua base na Geórgia, levando a uma grande interrupção no fornecimento de combustível ao longo da costa leste dos EUA. O malware é oferecido como um serviço a diferentes cibercriminosos por meio de um programa de afiliados e, como outras ameaças de ransomware, emprega extorsão dupla que combina criptografia de arquivo com roubo de dados e é implantado em redes comprometidas usando técnicas manuais de hacking.
Em um relatório recente, pesquisadores da empresa de inteligência de ameaças Flashpoint disseram acreditar “que os agentes de ameaças por trás do ransomware DarkSide são de origem russa e são provavelmente ex-afiliados do grupo REvil RaaS [ransomware-as-a-service]”.
Um grupo experiente de relações públicas que reivindica princípios “morais” (duvidosos)
Os pesquisadores acreditam que os criadores do DarkSide inicialmente executaram sozinhos todas as suas campanhas de ataque direcionado, mas depois de alguns meses eles começaram a disponibilizar seu ransomware para outros grupos e comercializá-lo em fóruns clandestinos de língua russa. Em seu anúncio de lançamento, eles afirmaram já ter feito milhões de dólares em lucros fazendo parceria com outros criptolockers (programas de ransomware) bem conhecidos no passado.
O grupo incentiva o cadastro em seu site para receber informações antecipadas sobre violações e informações não públicas e promete respostas rápidas 24 horas por dia a quaisquer perguntas da mídia. Eles também convidaram empresas de descriptografia de dados para fazer parceria com eles para ajudar as vítimas que não têm grandes departamentos de TI a descriptografar seus dados após o pagamento.
Além dessas e outras atividades do grupo, fica claro em sua maneira de se comunicar com o público, que desejam chamar a atenção e tentar ganhar mais afiliados, mas pesquisadores alertam para o perigo de não ter confiabilidade e nem as provas dessas supostas atuações e, mesmo se tivessem, os recursos seriam originados de atuação ilegal e criminosa.
Como o DarkSide compromete as redes
DarkSide e seus afiliados seguem o mesmo modelo operado por humanos de implantação de ransomware de outros grupos prolíficos de ransomware que atormentaram empresas nos últimos anos. Isso significa que os invasores obtêm acesso às redes por meio de uma variedade de métodos, incluindo credenciais roubadas seguidas por técnicas manuais de hacking e usando uma variedade de administração de sistema ou ferramentas de teste de penetração para realizar movimentos laterais.
O objetivo é mapear a rede para identificar servidores críticos, escalar privilégios, obter credenciais administrativas de domínio, desabilitar e excluir backups, exfiltrar dados confidenciais e apenas quando o terreno estiver pronto, implantar o ransomware em tantos sistemas quanto possível de uma só vez. Essa abordagem cuidadosa e metódica é muito mais eficaz e difícil de se defender do que programas ransomware que se propagam automaticamente pelas redes usando rotinas integradas que podem falhar e desarmar mecanismos de detecção.
“Com relação aos afiliados do DarkSide, há sobreposição na forma como o ransomware foi entregue, incluindo afiliadas ganhando acesso à rede inicial explorando software vulnerável como Citrix, Remote Desktop Web (RDWeb) ou protocolo de desktop remoto (RDP), realizando movimento lateral e exfiltrando dados confidenciais antes de implantar o ransomware “, disseram pesquisadores da empresa de segurança Intel471 em um relatório.
Cada afiliado do DarkSide poderia empregar táticas diferentes para ganhar uma posição inicial. Eles são semelhantes às técnicas usadas por outros grupos de ransomware: comprar credenciais roubadas de mercados clandestinos, realizar ataques de adivinhação de senha por força bruta ou até métodos como o “credencial stuffing attack”, comprar acesso a máquinas que já estão infectadas com malware de botnet, como Dridex, TrickBot ou Zloader, ou enviar e-mails com anexos maliciosos que implantam algum tipo de carregador leve de malware.
Um ator DarkSide observado pela Intel471 obteve credenciais de acesso inicial de um administrador de acesso à rede e então usou o serviço de compartilhamento de arquivos Mega.nz para exfiltrar dados, usou um backdoor do PowerShell para persistir na rede e implantou o malware de roubo de informações KPOT junto com o ransomware DarkSide . Outra afiliada recrutou abertamente profissionais de Pentest para usar VPNs e o acesso à rede já obtido para realizar movimentos laterais e implantar o ransomware.
Ferramentas de terceiros e de código aberto comumente usadas para atividades de movimento lateral incluem scripts do PowerShell, as ferramentas de teste de penetração Cobalt Strike e Metasploit, a ferramenta Mimikatz também é usada para manipulação de senhas e a ferramenta de visualização BloodHound que pode ajudar os invasores a descobrir caminhos de ataque obscuros e relações para explorar em ambientes Active Directory. Ferramentas que já fazem parte do Windows, como Certutil.exe e Bitsadmin.exe, também são exploradas.
Essa abordagem que inclui o uso de credenciais e ferramentas válidas que também são empregadas por administradores de sistema e defensores de rede torna esses ataques de ransomware operados por humanos difíceis de serem detectados sem um monitoramento avançado de rede.
Como funciona a rotina do ransomware DarkSide
O próprio ransomware DarkSide usa Salsa20 e RSA-1024 para criptografar os arquivos das vítimas e supostamente também tem uma versão Linux. Quando implantado no Windows, o malware verifica primeiro a configuração de idioma do sistema e, se for o idioma de um país localizado no antigo bloco soviético ou em sua esfera de influência, evita criptografar os dados. Isso é típico de malware criado por grupos baseados na região e que desejam evitar atrair a atenção das autoridades locais ao não atingir as organizações locais.
De acordo com pesquisadores da Cybereason, o malware interrompe os serviços que contêm os seguintes termos em seus nomes: vss, sql, svc, memtas, mepocs, sophos, veeam ou backup. Esses são processos relacionados a operações de backup, como o Windows Volume Shadow Copy Service (VSS) ou produtos de segurança. Em seguida, ele enumera os processos em execução e os encerra para que possa desbloquear os arquivos que eles estavam acessando para criptografá-los. Ele também usa um comando do PowerShell para excluir todas as cópias (shadow) já criadas e que podem ser usadas para restaurar arquivos.
O ransomware DarkSide cria uma identificação única para cada vítima e a adiciona à extensão do arquivo para os arquivos criptografados. Os valores do resgate podem variar significativamente de algumas centenas de milhares de dólares a milhões, dependendo do que os invasores determinaram ser o tamanho da vítima e sua renda anual.
“Em março de 2021, o desenvolvedor lançou uma série de novos recursos em um esforço para atrair novos afiliados”, disseram os pesquisadores da Intel471. “Isso incluía versões para direcionar os sistemas baseados em Microsoft Windows e Linux, configurações de criptografia aprimoradas, um recurso completo e integrado embutido diretamente no painel de gerenciamento que permitia às afiliadas organizar ligações destinadas a pressionar as vítimas a pagar resgates e uma maneira de lançar um negação de serviço distribuída (DDoS). “
Posts relacionados: Ameaças de Ransomware as a Service (RaaS) / 7 passos para ajudar a prevenir e limitar o impacto de um ransomware e Vulnerabilidade injetada em sistemas da SolarWinds viabiliza ataques de grandes proporções nos EUA.
Informações obtidas/adaptadas de DarkSide ransomware explained: How it works and who is behind it