Alla scoperta di DarkSide, tra tecniche, tattiche e affiliazioni.


I ricercatori di tutta la comunità informatica, si sono scambiati in questo periodo molte informazioni sulla cyber-gang di ransomware DarkSide, il gruppo criminale informatico emergente che si è improvvisamente elevato all'infamia globale.


Avevamo anche parlato di Sodinokibi/REvil in un precedente articolo, altra cyber-gang ad oggi conosciuta per attacchi di profilo verso aziende quali Honda, Jack Daniels, Acer, Grubman Shire Meiselas & Sacks e ultimo alla Quanta/Apple, pubblicando anche una intervista ad uno dei suoi leader chiamato UNKNOW, qualche settimana fa.



Ma dopo l'incidente a Colonial Pipeline sferrato da DarkSide, come non potevamo parlare di questa cyber-gang emergente?


Entrata per la prima volta nella scena internazionale nell'agosto del 2020, quando ha guadagnato una certa attenzione donando parte dei suoi profitti dei riscatto ad enti di beneficenza, DarkSide è un gruppo esperto che si è fatto una reputazione "onorevole", in quanto, una azione di questo tipo, non si era mai vista nel mondo della criminalità informatica.


I ricercatori dicono che DarkSide ama vedersi come una banda spericolata, una specie di Robin Hood che rapina i ricchi per dare ai poveri, anche se tutto questo rasenta un narcisismo delirante e auto-esaltante.


Ma è interessante notare che, in una deviazione del comportamento usuale da altri gruppi di ransomware, il gruppo DarkSide ha cercato di prendere le distanze dall'attacco a Colonial Pipeline, conducendo un esercizio di "crisis-management" e di limitazione del danno apparente, rilasciando una dichiarazione dove ha riportato il loro unico obiettivo, ovvero: "fare soldi e non creare problemi alla società".



Non è chiaro comprendere dopo questo commento dove pensassero di arrivare.


Ma è chiaro che DarkSide ha anche affermato che l'attacco a Colonial Pipeline è stato svolto da un loro affiliato e che in futuro controllerà più assiduamente la selezione degli obiettivi dei suoi partner per "evitare conseguenze sociali".


La cosa più inquietante è che ci stiamo rapportando ai criminali informatici come fossero reali organizzazioni. probabilmente una riflessione su tutto questo dovremmo farcela tutti.


Sean Gallagher, Mark Loman e Peter Mackenzie di Sophos (che hanno avuto a che fare con diverse vittime di DarkSide tramite il servizio di risposta agli incidenti dell'azienda), hanno affermato che questa marcia-indietro è stato probabilmente il fenomeno di maggiore impatto nell'attacco a Colonial Pipeline.

"Apparentemente ha reso gli operatori di DarkSide più famosi di quanto non lo erano prima"

hanno affermato in un rapporto pubblicato di recente.

“La banda in precedenza aveva promesso di risparmiare le organizzazioni sanitarie, così come altre coinvolte nella distribuzione di vaccini, a causa dell'attenzione negativa che tali attacchi potrebbero potenzialmente portare nel paese di origine della cyber-gang. Ma a causa del modo in cui funziona DarkSide, non è chiaro quanto controllo abbiano sugli affiliati che fanno il lavoro effettivo di irruzione nelle reti delle aziende e lanciare il loro ransomware".


I ricercatori di FireEye Mandiant , Jordan Nuce, Jeremy Kennelly, Kimberly Goody, Andrew Moore, Alyssa Rahman, Brendan McKeague e Jared Wilson hanno aggiunto:

"Un recente aggiornamento dei servizi nel loro forum nel darkweb indica che il gruppo può svolgere anche attacchi di DDoS (Distributed Denial of Service), verso le vittime. 'darksupp', un utente, ha affermato che agli affiliati è vietato prendere di mira ospedali, scuole, università, organizzazioni senza scopo di lucro ed enti del settore pubblico."

Questo potrebbe essere uno sforzo da parte della gang per scoraggiare l'azione verso le forze dell'ordine, dal momento che prendere di mira questi settori potrebbe creare dei problemi ai detentori del marchio. Agli affiliati è inoltre vietato prendere di mira le organizzazioni nelle nazioni della Comunità di Stati Indipendenti (CSI).


Nonostante la sua improvvisa reticenza, DarkSide ha finora seguito le orme delle altre famose bande di ransomware a doppia estorsione, come REvil Sodinokibi, Maze e LockBit, esfiltrando dati e minacciando di rilasciarli se la vittima non paga. Questo viene fatto tramite un blog accessibile tramite Tor browser. Tuttavia, il gruppo è noto per richieste piuttosto pesanti esattamente alla stessa stregua dei precedenti gruppi di criminali informatici.



Il team di FireEye Mandiant ha riportato che gli affiliati della banda devono fornire agli sviluppatori di DarkSide il 25% del totale per pagamenti, qualora il riscatto risulti inferiore a 500.000 dollari, mentre il 10% per pagamenti superiori a 5 milioni di dollari.


Operazione di estorsione multiforme

Il team di Mandiant ha detto che era chiaro che la banda di DarkSide stava diventando sempre più abile in operazioni di estorsione multiforme.


Ha notato il recente rilascio di informazioni che suggerivano che DarkSide avrebbe preso di mira NASDAQ e altre società quotate, divulgando in anticipo questi attacchi a commercianti e amici, in modo che avessero potuto gestire le loro azioni e trarre profitto da qualsiasi impatto azionario sulla società attaccata dal loro ransomware.


Un altro esempio davvero impressionante riportato da Mandiant è il seguente:

"un affiliato di DarkSide è stato in grado di esfiltrare la polizza assicurativa informatica della vittima e ha sfruttato queste informazioni durante il processo di negoziazione del riscatto, rifiutandosi di ridurre l'importo data la sua conoscenza dei limiti della polizza".

Ed inoltre hanno aggiunto:



"Ciò rafforza il fatto che durante la fase di post-sfruttamento degli incidenti di ransomware, gli attori delle minacce possono impegnarsi nella ricognizione interna e ottenere dati per aumentare il loro potere negoziale. Ci aspettiamo che le tattiche di estorsione utilizzate da questi gruppi per fare pressione sulle vittime continueranno ad evolversi in tutto il 2021",

Tattiche, tecniche e procedure

Tutti sembrano concordare sul fatto che le tattiche, le tecniche e le procedure tecnologiche della banda DarkSide riflettono anche altri ransomware, incorporando un mix di funzionalità native di Windows , malware commodity e strumenti di red team pronti all'uso come Cobalt Strike.


La banda affida in outsourcing la compromissione e la persistenza a specialisti di penetrazione della rete, che poi forniscono le chiavi di accesso alla rete alla banda che sviluppa il ransomware. Il team di Sophos ritiene che gli affiliati siano probabilmente dei semplici esecutori di ransomware, affiliati anche ad altre cyber-gang. FireEye e Mandiant lo hanno confermato, ritenendo che molti affiliati siano associati anche a Babuk e REvil.

"In base all'esperienza di Sophos nell'analisi forense dei dati e nella risposta agli incidenti agli attacchi DarkSide, l'accesso iniziale alla rete del bersaglio è derivato principalmente dalle credenziali di phishing"

ha affermato il team di Sophos.



"Questo non è l'unico modo in cui gli aggressori ransomware possono acquisire persistenza, ma sembra essere prevalente nei casi che coinvolgono questo tipo di ransomware, probabilmente a causa delle preferenze degli affiliati".

Mandiant ha affermato di aver visto lo sfruttamento della CVE-2021-20016 , una vulnerabilità di SQL injection del prodotto SonicWall SSLVPN SMA100 che consente a un utente malintenzionato non autenticato di eseguire query SQL per accedere ai nomi utente, password e altre informazioni relative alla sessione.


Mandiant tiene traccia delle attività di DarkSide con tre diversi cluster che ha definito UNC2628, UNC2659 e UNC2465, i quali differiscono in quanto utilizzano metodi diversi per stabilire la persistenza.


Tra gli altri strumenti, UNC2628 favorisce il framework di Cobalt Strike e i payload BEACON, a volte utilizza Mimikatz per il furto di credenziali e l'esfiltrazione e ha persino implementato il framework di comando e controllo personalizzato di F-Secure. UNC2659 utilizza invece TeamViewer per stabilire la persistenza e UNC2465, il più vecchio per attività collegato a DarkSide, fornisce la backdoor .NET basata su PowerShell nota come SMOKEDHAM.



Una volta stabilita la persistenza, la banda rimane all'interno della rete per circa 45 giorni, ma è noto che può arrivare anche a 88 giorni (di fatto stiamo parlando di un APT, un Advanced persistent threat), durante il quale ruba quanti più dati possibile, spesso prendendo di mira più reparti all'interno dell'organizzazione, come la contabilità e la ricerca e sviluppo (R&S), questi sono particolarmente favoriti.


La banda si muove all'interno della rete della vittima utilizzando PSExec e connessioni desktop remote (SSH se su un server Linux) e carica il suo tesoro in un provider di cloud storage Mega o pCloud. Le vittime vengono estorte in Bitcoin o Monero. Sophos osserva che la banda non accetta il dogecoin preferito da Elon Musk.

"Mentre alcune recenti operazioni di ransomware mirate da altre bande sono sorte rapidamente, lanciando il loro attacco in pochi giorni, gli attori dietro le campagne DarkSide possono frugare all'interno delle reti per settimane o mesi a prima di attivare il payload del loro ransomware"

ha affermato il team di Sophos.


Ecco che ora sapete come funziona un ransomware.



Fonti

https://news.sophos.com/en-us/2021/05/11/a-defenders-view-inside-a-darkside-ransomware-attack/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20016

https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html

https://www.computerweekly.com/news/252490872/Charities-warned-over-Robin-Hood-cyber-criminals

https://www.computerweekly.com/news/252500652/Inside-DarkSide-Researchers-share-intel-on-break-out-cyber-gang?amp=1