DarkSide APT

DarkSide APTは、Ransomware-as-a-Corporation（RaaC）のトレンドをモデルにしたサイバー犯罪の脅威アクターです。このグループは、特別に選択されたターゲットに対するランサムウェア攻撃の展開を専門としています。一部の情報セキュリティ研究者は、DarkSideが犠牲者から合計100万ドルを恐喝したと推定しています。

DarkSideの一般的な戦術、技術、手順（TTPS）は非常に類似しており、多くの場合、 Sodinokibi 、 DoppelPaymer、 Maze 、 NetWalkerなどの他のAPTからの攻撃キャンペーンで見られる方法と重複しています。ただし、DarkSideを際立たせているのは、被害者を選択する際のグループの非常に的を絞ったアプローチ、対象となる組織ごとにカスタムのランサムウェア実行可能ファイルを作成すること、および彼らが採用した企業のような特性です。

追加された正当性に関する公式プレスリリース

DarkSideは、Tor Webサイトに公開されたプレスリリースを通じて、ランサムウェアの運用開始を発表しました。脅威アクターが通信チャネルとしてプレスリリースに依存したのはこれが初めてではありませんが、それでもまれな出来事です。ただし、プレスリリースにはいくつかの利点があります。サイバー犯罪者は、交渉の終了を支持すると同時に、より大きなメディアの注目を集めることを信頼できる専門家のイメージを投影できます。これは、侵害された組織に対するレバレッジとして使用できます。結局のところ、ほとんどのランサムウェアAPTは、感染したマシン上のファイルをロックする前に、個人データの収集を開始しています。盗み出された情報は武器化され、メディアの関与は影響を受ける企業にとってさらに大きな評判の低下を意味する可能性があります。

道徳的規範を持つハッカー？

プレスリリースでは、DarkSideハッカーが将来の運用のいくつかの側面について概説しています。どうやら、サイバー犯罪者は、病院、学校、さらには政府機関などの重要なセクターや脆弱なセクターに対する攻撃を開始することを控えるでしょう。さらに、APTグループは、その事業体の財務収益に基づいて目標を達成する意向であることを明確にし、すでに財務的に苦労している企業を回避することを示唆しています。これらはいくつかの本当に高潔な意図ですが、少なくともサイバー犯罪組織にとっては、DarkSideがなんとか成功するかどうかはまだわかりません。結局のところ、病院はランサムウェア攻撃の最も可能性の高いターゲットの1つです。

ランサムウェアツール

DarkSideオペレーターは、現在選択されているターゲットに一致するように悪意のあるツールキットを変更します。この方法では、常に同じランサムウェア実行可能ファイルを単にデプロイするよりもはるかに多くの労力が必要ですが、成功の可能性が高くなります。ランサムウェアの脅威は、PowerShellコマンドを使用して、侵害されたシステムのシャドウボリュームコピーを削除します。その後、マルウェアは、暗号化ルーチンを開始するための準備として、多数のデータベース、アプリケーション、メールクライアントなどを終了します。ただし、DarkSideは、次のプロセスの改ざんを回避します。

• Vmcompute.exe
• Vmms.exe
• Vmwp.exe
• Svchost.exe
• TeamViewer.exe
• Explorer.exe

そのリストにTeamViewerが含まれていることはかなり不思議であり、攻撃者が侵入先のコンピュータへのリモートアクセスをアプリケーションに依存していることを示唆している可能性があります。

表示される身代金メモも、現在選択されているターゲットに合わせて作成されます。メモには通常、ハッカーによって収集されたデータの正確な量、そのタイプ、およびデータがアップロードされたリモートサーバーへのリンクが含まれています。取得した情報は、強力な恐喝ツールとして使用されます。侵害された組織がDarkSideの要求を満たすことを拒否した場合、データは競合他社に販売されるか、単に一般に公開され、被害者の評判を著しく損なう可能性があります。