Исследователи безопасности рассказали о вымогателе DarkSide

На прошлой неделе операторы вымогательского ПО DarkSide совершили кибератаку на крупнейшую компанию-оператора трубопровода для нефтепродуктов в США Colonial Pipeline. ИБ-фирмы и исследователи в области кибербезопасности поделились информацией о группировке, ответственной за инцидент.

Операторы DarkSide действуют по бизнес-модели «вымогательское-ПО-как-услуга» (RaaS), в рамках которой их клиенты могут распространять вредоносное ПО в обмен на процент от суммы выкупа. На сегодняшний день выявлено не менее пяти русскоязычных партнеров DarkSide.

Группировка DarkSide ведет блог в сети Tor, где хвастается взломанными организациями. Злоумышленники способны осуществлять атаки типа «отказ в обслуживании» (DDoS) против жертв, не желающих платить выкуп.

Жертвам предоставляется возможность напрямую договариваться о выплате выкупа с преступниками. В одном случае злоумышленники потребовали выкуп в размере $30 млн, но после переговоров жертве удалось снизить сумму до $11 млн. Хакеры также пообещали удалить все украденные данные и больше не нападать на сеть компании.

По словам исследователей в области безопасности из компании Intel 471, для первоначального доступа злоумышленники используют учетные данные, приобретенные на подпольных форумах, брутфорс-атаки и рассылку спама по электронной почте для распространения вредоносного ПО. В таких атаках использовалась как минимум одна уязвимость нулевого дня.

Инструменты постэксплуатации, используемые в атаках DarkSide, могут включать Cobalt Strike, Metasploit, BloodHound, Mimikatz, фреймворк Custom Command and Control (C3) F-Secure Labs, TeamViewer, бэкдор SMOKEDHAM и утилиту NGROK.

Один из партнеров группировки устанавливает программу-вымогатель только через три дня после первоначального взлома, а другой имеет тенденцию скрываться в скомпрометированных сетях в течение месяцев, прежде чем сделать аналогичный шаг.

Во вторник, 11 мая, Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР выпустили предупреждение , призванное помочь организациям не стать жертвой атак программ-вымогателей DarkSide.