DarkSide APT

Der DarkSide APT ist ein Cyberkrimineller, der dem RaaC-Trend (Ransomware-as-a-Corporation) nachempfunden ist. Die Gruppe ist auf die Bereitstellung von Ransomware-Angriffen gegen speziell ausgewählte Ziele spezialisiert. Einige Infosec-Forscher haben geschätzt, dass DarkSide es geschafft hat, insgesamt 1 Million US-Dollar von seinen Opfern zu erpressen.

Die allgemeinen Taktiken, Techniken und Verfahren (TTPS) von DarkSide weisen große Ähnlichkeiten auf und überschneiden sich in vielen Fällen mit den Methoden, die in Angriffskampagnen anderer APTs wie Sodinokibi, DoppelPaymer, Maze und NetWalker verwendet wurden. Was DarkSide jedoch auszeichnet, ist der zielgerichtete Ansatz der Gruppe bei der Auswahl ihrer Opfer, die Erstellung von benutzerdefinierten ausführbaren Ransomware-Dateien für jede Zielorganisation und die von ihnen übernommenen unternehmensähnlichen Merkmale.

Offizielle Pressemitteilung für zusätzliche Legitimität

DarkSide kündigte den Start ihres Ransomware-Betriebs durch eine Pressemitteilung an, die auf seiner Tor-Website veröffentlicht wurde. Dies ist zwar nicht das erste Mal, dass sich Bedrohungsakteure auf Pressemitteilungen als Kommunikationskanal verlassen, aber es kommt immer noch selten vor. Pressemitteilungen haben jedoch einige Vorteile: Sie ermöglichen es den Cyberkriminellen, ein Bild einer professionellen Einheit zu projizieren, der man vertrauen kann, um das Ende von Verhandlungen aufrechtzuerhalten und gleichzeitig größere Aufmerksamkeit in den Medien zu erregen, was als Hebel gegen jede verletzte Organisation eingesetzt werden kann. Schließlich haben die meisten Ransomware-APTs damit begonnen, private Daten zu sammeln, bevor die Dateien auf den infizierten Computern gesperrt wurden. Die exfiltrierten Informationen werden dann bewaffnet und die Einbeziehung der Medien könnte für das betroffene Unternehmen einen noch größeren Reputationsschaden bedeuten.

Hacker mit Moralkodex?

In ihrer Pressemitteilung beschreiben die DarkSide-Hacker verschiedene Aspekte ihrer zukünftigen Operationen. Anscheinend werden die Cyberkriminellen keine Angriffe auf kritische oder gefährdete Sektoren wie Krankenhäuser, Schulen und sogar Regierungsstellen starten. Darüber hinaus stellt die APT-Gruppe klar, dass sie beabsichtigt, Ziele auf der Grundlage der finanziellen Einnahmen des Unternehmens zu verfolgen, was bedeutet, dass sie Unternehmen meiden werden, die bereits finanzielle Probleme haben. Obwohl dies einige wirklich noble Absichten sind, zumindest für eine Cyberkriminelle Organisation, bleibt abzuwarten, ob DarkSide es schaffen wird, sich durchzusetzen. Schließlich gehören Krankenhäuser weiterhin zu den wahrscheinlichsten Zielen von Ransomware-Angriffen.

Ransomware-Tools

Die DarkSide-Operatoren ändern ihr bösartiges Toolkit so, dass es dem aktuell ausgewählten Ziel entspricht. Diese Methode erfordert zwar viel mehr Aufwand als die ständige Bereitstellung derselben ausführbaren Ransomware-Datei, gewährleistet jedoch eine höhere Erfolgschance. Die Ransomware-Bedrohung löscht die Shadow Volume Copies auf dem gefährdeten System über einen PowerShell-Befehl. Anschließend beendet die Malware zahlreiche Datenbanken, Anwendungen, E-Mail-Clients und mehr, um die Einleitung ihrer Verschlüsselungsroutine vorzubereiten. DarkSide vermeidet jedoch Manipulationen am folgenden Vorgang:

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

Die Aufnahme von TeamViewer in diese Liste ist ziemlich merkwürdig und könnte darauf hindeuten, dass sich der Bedrohungsakteur für den Remotezugriff auf die gefährdeten Computer auf die Anwendung verlässt.

Die angezeigte Lösegeldnotiz wird ebenfalls auf das aktuell ausgewählte Ziel zugeschnitten. Die Notizen enthalten normalerweise die genaue Datenmenge, die von den Hackern gesammelt wurde, ihren Typ und einen Link zu dem Remote-Server, auf den die Daten hochgeladen wurden. Die erfassten Informationen werden als wirksames Erpressungswerkzeug verwendet. Wenn sich die verletzte Organisation weigert, die Anforderungen von DarkSide zu erfüllen, können die Daten entweder an Wettbewerber verkauft oder einfach der Öffentlichkeit zugänglich gemacht, wodurch den Ruf des Opfers erheblich beschädigt werden kann.