Como funciona e quem está por trás do ransomware DarkSide

DarkSide é uma ameaça de ransomware que está em operação desde pelo menos agosto de 2020 e foi usada em um ataque cibernético contra o Colonial Pipeline, com sede na Geórgia,levando a uma grande interrupção no fornecimento de combustível ao longo da costa leste dos EUA. O malware é oferecido como um serviço para diferentes cibercriminosos através de um programa de afiliados e, como outras ameaças prolíficas de ransomware, emprega dupla extorsão que combina criptografia de arquivos com roubo de dados e é implantado em redes comprometidas usando técnicas de hacking manual.

Em um relatório recente,pesquisadores da empresa de inteligência de ameaças Flashpoint disseram acreditar “que os atores de ameaça por trás do ransomware DarkSide são de origem russa e provavelmente são ex-afiliados do grupo REvil RaaS [ransomware-as-a-service]”.

Um grupo de relações públicas que reivindica princípios morais

Os pesquisadores acreditam que os criadores do DarkSide inicialmente executaram todas as suas campanhas de ataque direcionadas, mas depois de alguns meses eles começaram a disponibilizar seu ransomware para outros grupos e o comercializaram em fóruns subterrâneos em língua russa. Em seu anúncio de lançamento, eles alegaram já ter feito milhões de dólares em lucros através de parcerias com outros criptolockers conhecidos (programas de ransomware) no passado.

O grupo incentiva os repórteres de notícias a se registrarem em seu site para receber informações prévias sobre violações e informações não públicas e promete respostas rápidas 24 horas a quaisquer perguntas da mídia. Eles também convidaram empresas de descriptografia de dados para fazer parcerias com eles para ajudar vítimas que não têm grandes departamentos de TI a descriptografar seus dados depois que eles pagam.

O grupo também afirma que não ataca instalações médicas, empresas de pesquisa e distribuição de vacinas COVID, serviços funerários, organizações sem fins lucrativos, instituições de ensino ou organizações governamentais por causa de seus “princípios”.

Após o ataque ao Colonial Pipeline, o grupo emitiu um comunicado dizendo que, daqui para frente, revisará as vítimas que suas afiliadas comprometeram e cujos dados pretendem criptografar:

“Somos apolíticos, não participamos da geopolítica, não precisamos nos unir a um governo definido e buscar outros motivos. Nosso objetivo é ganhar dinheiro, e não criar problemas para a sociedade. A partir de hoje, introduzimos moderação e verificamos cada empresa que nossos parceiros querem criptografar para evitar consequências sociais no futuro.” [sic]

Em outubro, o grupo também alegou que está doando uma parte dos fundos extorquidos para instituições de caridade e postou a prova de duas doações de US$ 10.000.

Com base nessas comunicações, é claro que o grupo quer e sabe como atrair atenção para si mesmo e suas atividades, provavelmente na tentativa de ganhar mais afiliados, mas os pesquisadores alertam que suas alegações não foram comprovadas e são realmente enganosas. Por exemplo, se for comprovado que as instituições de caridade receberam dinheiro obtido de atividades ilegais, esses fundos serão apreendidos ou devolvidos. Embora o grupo tenha dito que não ataca instituições de ensino, atacou uma empresa que processou dados das escolas. Quando a empresa se recusou a pagar o resgate, os agressores enviaram um e-mail para as escolas impactadas para pressionar a organização da vítima, alertando-os de que as informações pessoais de crianças e funcionários da escola poderiam ser vazadas.

As reivindicações sobre doações e não direcionadas a certos tipos de organizações não foram verificadas e “devem ser atendidas com um grau elevado de escrutínio; esses operadores da DarkSide estariam longe dos primeiros cibercriminosos a fazer tais alegações e não seguir em frente”, disseram os pesquisadores do Flashpoint.

Como o DarkSide compromete as redes

A DarkSide e suas afiliadas seguem o mesmo modelo operado por humanos de implantação de ransomware como outros grupos prolíficos de ransomware que têm atormentado as empresas nos últimos anos. Isso significa que os atacantes ganham acesso a redes através de uma variedade de métodos, incluindo credenciais roubadas seguidas de técnicas de hacking manual e usando uma variedade de ferramentas de teste de administração de sistemas ou penetração para executar o movimento lateral.

O objetivo é mapear a rede para identificar servidores críticos, escalar privilégios, obter credenciais administrativas de domínio, desativar e excluir backups, exfiltrar dados confidenciais e somente quando o terreno estiver pronto, implantar o ransomware no maior número possível de sistemas de uma só vez. Essa abordagem cuidadosa e metódica é muito mais eficaz e difícil de defender do que programas de ransomware que se propagam automaticamente através de redes usando rotinas incorporadas que podem falhar e mecanismos de detecção de viagens.

“Com relação às afiliadas da DarkSide, há sobreposição na forma como o ransomware foi entregue, incluindo afiliados que ganham acesso inicial à rede explorando softwares vulneráveis como Citrix, Remote Desktop Web (RDWeb) ou protocolo de desktop remoto (RDP), realizando movimento lateral e exfiltrando dados confidenciais antes de finalmente implantar ransomware”, disseram pesquisadores da empresa de segurança Intel471 em um relatório.

Cada afiliado da DarkSide poderia empregar táticas diferentes para ganhar a base inicial. Essas são semelhantes às técnicas usadas por outros grupos de ransomware: comprar credenciais roubadas de mercados subterrâneos, realizar adivinhações de senha de força bruta ou ataques de enmento credencial,comprar acesso a máquinas que já estão infectadas com malware botnet como Dridex, TrickBot ou Zloader, ou enviar e-mails com anexos maliciosos que implantam algum tipo de carregador de malware leve.

Um ator do DarkSide observado pelo Intel471 forneceu credenciais iniciais de acesso de um corretor de acesso de rede e usou o serviço de compartilhamento de arquivos Mega.nz para exfiltrar dados, usou um backdoor do PowerShell para persistir na rede e implantou o malware de roubo de informações KPOT ao lado do ransomware DarkSide. Outro afiliado recrutou abertamente “testadores de penetração” para usar VPNs e o acesso de rede já obtido para executar o movimento lateral e implantar o ransomware.

Ferramentas de terceiro e código aberto comumente usadas para atividades de movimento lateral incluem scripts PowerShell, as estruturas de teste de penetração cobalto Strike e Metasploit, a ferramenta de dumping de senhas Mimikatz e a ferramenta de visualização BloodHound que pode ajudar os atacantes a descobrir caminhos e relacionamentos obscuros de ataque para explorar em ambientes do Active Directory. Ferramentas que já fazem parte do Windows como Certutil.exe e Bitsadmin.exe também são abusadas.

Essa abordagem viva fora da terra que inclui o uso de credenciais e ferramentas válidas que também são empregadas por administradores de sistemas e defensores de rede torna esses ataques de ransomware operados por humanos difíceis de detectar sem monitoramento avançado de rede.

Como funciona a rotina do ransomware DarkSide

O próprio ransomware DarkSide usa Salsa20 e RSA-1024 para criptografar arquivos das vítimas e supostamente também tem uma versão Linux. Quando implantado no Windows, o malware verifica primeiro a configuração do idioma do sistema e se é a linguagem de um país localizado no antigo Bloco Soviético ou sua esfera de influência, evita criptografar os dados. Isso é típico de malware criado por grupos que estão sediados na região e que querem evitar atrair a atenção das autoridades locais por não atingirem organizações locais.

De acordo com pesquisadores da Cybereason,o malware então interrompe serviços que contêm os seguintes termos em seus nomes: vss, sql, svc, memtas, mepocs, sophos, veeam ou backup. Estes são processos relacionados a operações de backup, como o Windows Volume Shadow Copy Service (VSS) ou produtos de segurança. Em seguida, ele passa a enumerar processos de execução e rescinde-os para que possa desbloquear os arquivos que eles estavam acessando para criptografá-los. Ele também usa um comando PowerShell para excluir todas as cópias de sombra de volume já criadas e que poderiam ser usadas para restaurar arquivos.

O ransomware DarkSide cria um ID exclusivo para cada vítima e adiciona-o à extensão de arquivo para os arquivos criptografados. Os valores do resgate podem variar significativamente de algumas centenas de milhares de dólares a milhões, dependendo do que os agressores determinaram que é o tamanho da vítima e sua renda anual.

“Em março de 2021, o desenvolvedor lançou uma série de novos recursos em um esforço para atrair novas afiliadas”, disseram pesquisadores do Intel471. “Essas incluíam versões para direcionar sistemas baseados no Microsoft Windows e Linux, configurações aprimoradas de criptografia, um recurso completo e integrado incorporado incorporado diretamente no painel de gerenciamento que permitia aos afiliados organizar chamadas destinadas a pressionar as vítimas a pagar resgates e uma maneira de lançar um DDoS (Distributed denial-of-Service).”

FONTE: CSO ONLINE