DarkSide: nowe oprogramowanie ransomware
2 września 2020
W sierpniu uaktywniała się nowa grupa DarkSide, która specjalizuje się w atakach ukierunkowanych ransomware. Wszystko wskazuje na to, że należą do niej doświadczeni hakerzy, wcześniej związani ze znanymi organizacjami przestępczymi.
Grupa DarkSide wysłała na początku bieżącego miesiąca komunikat do mediów, w którym informuje, że jej członkami są osoby stojące za wieloma udanymi atakami ransomware. Przestępcy biorą na cel przedsiębiorców gotowych zapłacić okup, aby zachować swoją rynkową egzystencję. Według serwisu BleepingComputer, który miał okazję rozmawiać z pierwszymi ofiarami ataków, haracz wynosi od 200 tys. do 2 mln USD. Przestępcy deklarują, iż nie zamierzają atakować placówek medycznych, szkół oraz uczelni, organizacji non-profit i sektora rządowego.
Operatorzy DarkSide włamują się do sieci i rozprzestrzeniają się w niej do czasu, aż uzyskają dostęp do konta administratora i kontrolera domeny Windowsa. Napastnicy zbierają niezaszyfrowane dane z serwerów ofiary i przesyłają je na własne urządzenia, a następnie umieszczają na kontrolowanej przez siebie stronie wycieku danych. Na witrynie cyberprzestępcy wymieniają nazwę firmy, datę naruszenia, ilość danych, zrzuty ekranu i typy skradzionych danych. Jeśli ofiara nie zapłaci okupu, dane będą publikowane przez co najmniej pół roku. Ta strategia ma na celu wymuszenie haraczu, nawet w sytuacji, kiedy zaatakowanej firmie uda się odzyskać pliki z kopii zapasowych.
Bitdefender®
Lider w walce z ransomware
Chroń swoją organizację przed ransomware z rozwiązaniami, które najlepiej zapobiegają i blokują zagrożenia.
Podczas szyfrowania komputera DarkSide nie zatrzymuje wszystkich procesów na atakowanych urządzeniach. Na przykład cały czas aktywny pozostaje TeamViewer, co w przypadku tego typu incydentów jest rzadkim zjawiskiem. Niewykluczone, że przestępcy używają tej aplikacji, aby uzyskać zdalny dostęp do komputerów. Oprogramowanie ransomware wykorzystuje do szyfrowania plików klucz SALSA20, a następnie jest on szyfrowany publicznym kluczem RSA-1024 zawartym w pliku wykonywalnym.
– Wszystko wskazuje na to, że mamy do czynienia z kolejną niebezpieczną grupą cyberprzestępczą. Co gorsza, istnieje duże prawdopodobieństwo, że jej członkowie mają powiązania z REvil – jak do tej pory największym i najgroźniejszym operatorem ransomware. Świadczy o tym duże podobieństwo kodów, które używają obie grupy, oraz unikanie ataków na kraje należące do Wspólnoty Niepodległych Państw – mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.