Cómo funciona Darkside Ransomware y qué hay detrás

DarkSide es un ransomware que ha estado activo desde al menos agosto de 2020 y se utilizó para atacar el oleoducto Colonial en Georgia, EE. UU. El ataque interrumpió gravemente el suministro de petróleo a lo largo de la costa este de Estados Unidos.
Ⓒ Banco de imágenes de Getty

El malware Darkside, al igual que otras amenazas de ransomware populares, se proporciona como un servicio a varios ciberdelincuentes a través de programas afiliados, utilizando una técnica de doble extorsión que combina el cifrado de archivos y el robo de datos, y se distribuye a la red comprometida mediante técnicas de piratería manual.

“Los actores de amenazas detrás del lado oscuro tienen su sede en Rusia y es probable que hayan estado vinculados al grupo anterior REvil Ransomware as a Service (RAaS)”, dijeron en un informe reciente, investigadores de Flashpoint, una compañía de inteligencia de amenazas.


Un grupo que es bueno en relaciones públicas con principios morales.

Según los investigadores, los creadores de Darkside inicialmente ejecutaron todas las campañas de ataque ellos mismos, pero después de unos meses comenzaron a ofrecer ransomware a otros grupos y a venderlos en foros clandestinos en ruso. Cuando anunciaron el lanzamiento del servicio, afirmaron que ya habían ganado millones de dólares en relación con el conocido cryptolocker del pasado.

El grupo se ha comprometido a alentar a los reporteros a registrarse en el sitio web operado por el grupo para obtener información más detallada y no pública sobre la infracción y responderá a todas las consultas de los medios dentro de las 24 horas. También invitó a una empresa de descifrado de datos para ayudar a una empresa víctima sin un gran departamento de TI a pagar dinero y descifrar los datos.

También argumentó que de acuerdo con los ‘principios’, no atacará instituciones médicas, empresas de investigación y distribución de vacunas corona, servicios funerarios, organizaciones sin fines de lucro, instituciones educativas u organizaciones gubernamentales.

Tras atacar el Oleoducto Colonial, el grupo anunció en el siguiente comunicado que inspeccionaría y supervisaría a las víctimas que penetran las organizaciones afiliadas y los datos que cifran.

Dijeron: “No estamos relacionados con la política. No estamos involucrados en las relaciones geopolíticas, no tenemos que vincularnos con gobiernos específicos y buscar otros motivos. Nuestro objetivo es ganar dinero pero no causar problemas sociales. Para prevenir daños sociales futuros . Para hacerlo, introduciremos un sistema de gestión a partir de hoy para ver qué empresas quieren cifrar nuestros socios “.

Además, en octubre, publicaron dos certificados de donación de $ 10,000, alegando haber donado una parte del dinero extorsionado a una organización benéfica.

Con base en estas actividades de relaciones públicas, quieren llamar la atención sobre el grupo en sí y sus actividades (que parece ser una estrategia para asegurar más grupos afiliados), y saben cómo hacerlo. Sin embargo, los investigadores advirtieron que sus afirmaciones no tenían fundamento y eran engañosas.

Por ejemplo, si se descubre que una organización benéfica ha recibido fondos a través de actividades ilegales, la cantidad será incautada o devuelta. También atacaron a empresas que procesan datos escolares, a diferencia de lo que afirman atacar instituciones educativas. Cuando la empresa se negó a pagar el rescate, los atacantes enviaron un correo electrónico advirtiendo a las escuelas afectadas que la información personal de los niños y del personal escolar podría filtrarse para presionar a la empresa.

Los investigadores de FlashPoint dijeron que sus afirmaciones de donación o afirmaciones de que no atacan a ciertos tipos de empresas no han demostrado ser ciertas y no deben creerse de inmediato. También puede ser el caso en ese caso ”, explicó.


Cómo el lado oscuro hackea la red

Darkside y sus grupos afiliados, al igual que otros prolíficos grupos de ransomware que han plagado a las empresas en los últimos años, utilizan un modelo de distribución de ransomware controlado por humanos. Esto significa que los atacantes obtienen acceso a la red a través de varios métodos, incluida la información de autenticación robada y técnicas de piratería manual, y se mueven horizontalmente utilizando diversas herramientas de prueba de penetración o administración del sistema.

El objetivo del atacante es mapear la red para encontrar servidores clave, elevar privilegios, obtener credenciales de administración de dominio, deshabilitar o eliminar copias de seguridad, robar datos confidenciales y tantos como sea posible a la vez, solo con todo el entorno en su lugar. Distribuye ransomware al sistema.

Un enfoque prudente y sistemático como este es mucho más efectivo y difícil de defender contra los programas de ransomware que se propagan automáticamente a través de la red utilizando rutinas integradas que no funcionan correctamente o pueden atascarse en los mecanismos de detección.

En el informe, los investigadores de la empresa de seguridad Intel471 dijeron: “Las alianzas del lado oscuro tienen una parte en común. Por ejemplo, antes de que finalmente se implemente el ransomware, se explota software vulnerable como Citrix, Remote Desktop Web (RDWeb) o Remote Desktop Protocol (RDP) para ingresar a la red para realizar movimientos laterales y extraer datos confidenciales “. Dicho.

Los grupos de la alianza Darkside pueden usar diferentes tácticas en su entrada inicial. Es similar a la técnica utilizada por otros grupos de ransomware. Comprar credenciales robadas en mercados clandestinos, realizar ataques de fuerza bruta o ataques de relleno de credenciales, redes de bots como Dridex, TrickBot y Zloader.Estos incluyen la compra de derechos de acceso a sistemas ya infectados por código malicioso o el envío de correos electrónicos con archivos adjuntos maliciosos que distribuyen un cargador de código.

Un atacante del lado oscuro observado por Intel 471 obtiene las primeras credenciales de acceso a través de un agente de acceso a la red, luego usa el servicio de intercambio de archivos Mega.nz para robar los datos, permanece en la red usando la puerta trasera de PowerShell y envía la información con el ransomware del lado oscuro. Distribuyó el malware de robo KPOT. Otro grupo afiliado ha contratado públicamente a “probadores de penetración” para realizar movimientos laterales y distribuir ransomware utilizando VPN y acceso a la red que ya han adquirido.

Las herramientas de terceros y de código abierto comúnmente utilizadas para actividades de movimiento lateral incluyen scripts de PowerShell, marcos de prueba de penetración Cobalt Strike y Metasploit, herramientas de volcado de contraseñas de Mimikatz y atacantes activos Incluye una herramienta de visualización BloodHound utilizada para encontrar vectores de ataque desconocidos y relaciones para explotar en un entorno de directorio. También se aprovechan las herramientas que ya se incluyen como parte de Windows, como Certutil.exe y Bitsadmin.exe.

Estos ataques de ransomware controlados por humanos utilizan herramientas que utilizan los administradores del sistema y los defensores de la red, así como información de autenticación válida, por lo que es difícil de detectar sin una supervisión avanzada de la red.


Cómo funciona Darkside Ransomware

El propio ransomware Darkside utiliza Salsa20 y RSA-1024 para cifrar archivos, y se sabe que también existe una versión para Linux. Cuando se implementa en Windows, primero se comprueba la configuración de idioma del sistema y los datos no se cifran si el idioma se encuentra en la antigua Unión Soviética o en el país afectado. Esta es una característica del código malicioso creado por un grupo con sede en la ex Unión Soviética, y parece que las agencias y empresas locales no atacan para no llamar la atención de las agencias de investigación locales.

Según los investigadores de Cyberreason, el malware detendrá los servicios que luego incluyen vss, sql, svc, memtas, mepocs, sophos, veeam y backup. Este es un proceso relacionado con las operaciones de copia de seguridad, como el Servicio de instantáneas de volumen de Windows (VSS) o los productos de seguridad. Luego encuentra el proceso en ejecución y lo termina, desbloqueando el archivo al que desea acceder para cifrarlo. Además, use el comando de PowerShell para eliminar las instantáneas de volumen que ya se han creado y que se pueden usar para restaurar archivos.

Darkside ransomware crea una identificación única para todos los objetivos y la agrega a la extensión del archivo cifrado. El monto del rescate puede variar desde cientos de dólares hasta millones de dólares, según el tamaño y los ingresos anuales de la organización o empresa víctima identificada por los atacantes.

“En marzo de 2021, los desarrolladores de Darkside lanzaron una serie de nuevas funciones para atraer un nuevo grupo de afiliados”, dijeron los investigadores de Intel 471. Esto incluye versiones que tienen como objetivo y atacan sistemas basados ​​en Microsoft Windows y Linux, así como configuraciones de cifrado mejoradas. También incorpora una variedad de funciones en el panel de administración para que los grupos afiliados puedan preparar llamadas para presionar a las víctimas para que paguen el dinero del rescate, y también proporciona un medio para lanzar ataques DDoS ”. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!