Дарксайд — это относительно новый игрок на рынке программ-шантажистов, который впервые появился в августе 2020 года.
Ребятки довольно громко заявили о себе после налёта на контору «Колониальный трубопровод», которая контролирует прокачку на Восточном побережье, от Галвестона до канадской границы.
До этого времени про Дарксайд знали только специалисты, хотя пострадавшие уже были. И лишь после того, как они бомбанули Колониальпайплайн, Дарксайд заметили и пацаны удостоились заметки в Википедии.
Дарксайд работает по схеме RaaS (программа-вымогатель как услуга), и недавно выпустила DarkSide 2.0
Верный человек объяснил, что версия Windows of Darkside Asside 2.0 шифрует файлы быстрее, чем любые другие RaaS. Это значит, что объекты нападения Дарксайда имеют еще меньше времени выдернуть штепсель, если заражение корпоративной сети началось.
У дарксайдовцев есть даже партнёрская программа для потенциальных клиентов.
#Malware #Ransomware #DarkSide
New DarkSide 2.0 is out. The new version concentrated on speed and new service features. DarkSide 2.0 became fastest for 2 minutes than concurrent. Other changes refer to panel and service. See screenshots for detailed information. pic.twitter.com/gWDEl6Gcc8
— 3xp0rt (@3xp0rtblog) March 10, 2021
Бригада дарксайдовцев работает по схеме двойного шантажа: они не просто шифруют данные пользователя, но сначала крадут данные и угрожают обнародовать их, если требование выкупа не будет выполнено.
Сумма выкупа пляшет от $200000 до $2000000 (в битках). Кстати, средние ставки по кибершантажу в IV квартале 2020 года были такие:
У группы есть контактный телефон и справочная служба чтобы облегчить проведение переговоров с жертвами. Дарксайдовцы много работают не только по сбору технической информации о сетевой среде объекта шантажа, но и собирают данные об экономических и финансовых показателях, включая позиции на рынке, структуру собственности и предполагаемый доход.
Здесь я опускаю тему робингудства, когда дарксайдовцы объявляют о своих пожертвованиях в пользу бедных. Это вам для факультативных занятий.
Теперь кратко о технической стороне процесса. Опять-таки, вся техническая сторона дела объясняется со слов верного человека.
Осуществив первичное вторжение, шантажисты приступают к сбору информации о компании и её компьютерной среде.
— сначала группируют файлы, учетные данные и другую конфиденциальную информацию, а затем крадут ее;
— для загрузки двоичного файла используют PowerShell DarkSide как «update.exe» с помощью команды «DownloadFile», при этом эксплуатируют «Certutil.exe» и «Bitsadmin.exe»;
— помимо загрузки двоичного файла DarkSide в каталог C:\Windows и временные каталоги, шантажисты также создают общую папку на зараженном софте и “железе”, и используют PowerShell для загрузки туда копии вредоносного ПО.
После успешного закрепления на одном из компьютеров/серверов корпоративной среды, шантажисты начинают перемещаться в среде горизонтально; главная цель — захват контроллера домена (КД).
Как только шантажисты добираются до КД, они начинают собирать другую конфиденциальную информацию и файлы, в том числе сбрасывать диспетчер учётных записей безопасности, в котором хранятся пароли в среде компании-объекта шантажа. Помимо сбора данных с КД, шантажисты используют PowerShell для загрузки двоичного файла DarkSide из общей папки, созданной на ранее зараженном хосте.
Шантажисты также создают общую папку, используя название компании на самом КД, и копируют двоичный файл DarkSide. Позже в ходе атаки, когда все необходимые данные уже отфильтрованы, дарксайдовцы используют «bitsadmin.exe» для распространения своего двоичного файла из общей папки по другим ресурсам корпоративной среды, чтобы чтобы максимизировать ущерб.
Когда программа-шантажист DarkSide впервые запускается на зараженном хосте, она проверяет язык в системе, используя функции GetSystemDefaultUILanguage и GetUserDefaultLangID, чтобы избежать шифрования систем, расположенных на постсоветском пространстве.
Дарксайдовцы не шифруют файлы в системах со следующими установленными языками:
Затем DarkSide прекращает работу служб, связанных с решениями безопасности и резервного копирования, устанавливает соединение со своим сервером C2 (командный и контрольный), и создаёт контактную форму для связи жертвы с шантажистом. Я здесь опускаю игру слов с использованием местных идиоматических выражений, которые употребляют специалисты.
В общем, после вторжения происходит как зашифровка файлов компании-объекта шантажа, так и кража массивов информации, которая представляет интерес для дарксайдовцев. На прощание DarkSide создает уникальную строку User_ID для жертвы и меняет фон рабочего стола.
И, натурально, засылается письмо с требованиями.
В общем, это стандартный текст, типа :
Ваши компьютеры и серверы зашифрованы, резервные копии удалены. Вы не cможете расшифровать свои данные. Но вы можете все восстановить, купив у нас специальную программу — универсальный дешифратор. Эта программа восстановит всю вашу сеть. Следуйте нашим инструкциям ниже и вы восстановите все свои данные.
Словом, загрузите TOR, откройте наш сайт: http://darksid********tk2.onion (так я вам и сказал, ога), введите в форму ввода полученный от нас ключ, всего 567 знаков.
!!! ОПАСНОСТЬ !!! НЕ ИЗМЕНЯЙТЕ и НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ файлы самостоятельно. Мы НЕ сможем их ВОССТАНОВИТЬ !!! ОПАСНОСТЬ !!!
Такова их дислокация.