DarkSide APT

Description de DarkSide APT

DarkSide APT est un acteur de la menace cybercriminelle inspiré de la tendance Ransomware-as-a-Corporation (RaaC). Le groupe est spécialisé dans le déploiement d'attaques de ransomwares contre des cibles spécifiquement choisies. Certains chercheurs d'Infosec ont estimé que DarkSide a réussi à extorquer un total de 1 million de dollars à ses victimes.

Les tactiques, techniques et procédures générales (TTPS) de DarkSide montrent de grandes similitudes et, dans de nombreux cas, se chevauchent avec les méthodes vues dans les campagnes d'attaque d'autres APT tels que Sodinokibi, DoppelPaymer, Maze et NetWalker. Ce qui distingue DarkSide, cependant, c'est l'approche très ciblée du groupe lors de la sélection de ses victimes, la création d'exécutables de ransomware personnalisés pour chaque organisation ciblée et les caractéristiques d'entreprise qu'ils ont adoptées.

Communiqué de presse officiel pour une légitimité accrue

DarkSide a annoncé le début de son opération de ransomware via un communiqué de presse publié sur son site Web Tor. Bien que ce ne soit pas la première fois que les acteurs de la menace se fient aux communiqués de presse comme canal de communication, cela reste rare. Cependant, les communiqués de presse présentent certains avantages - ils permettent aux cybercriminels de projeter l'image d'une entité professionnelle à laquelle on peut faire confiance pour maintenir leur fin de négociation tout en attirant simultanément une plus grande attention des médias, ce qui peut être utilisé comme un levier contre toute organisation violée. Après tout, la plupart des APT ransomwares ont commencé à collecter des données privées avant de verrouiller les fichiers sur les machines infectées. Les informations exfiltrées sont ensuite militarisées et l'implication des médias pourrait entraîner des dommages encore plus importants à la réputation de l'entreprise concernée.

Des hackers avec un code moral?

Dans leur communiqué de presse, les hackers de DarkSide décrivent plusieurs aspects de leurs opérations futures. Apparemment, les cybercriminels s'abstiendront de lancer des attaques contre des secteurs critiques ou vulnérables tels que les hôpitaux, les écoles et même les entités gouvernementales. En plus de cela, le groupe APT précise qu'il a l'intention d'aller au-delà des objectifs basés sur les revenus financiers de cette entité, ce qui implique qu'il évitera les entreprises qui sont déjà en difficulté financièrement. Bien que ce soient des intentions vraiment nobles, au moins pour une organisation cybercriminelle, il reste à voir si DarkSide parviendra à donner suite. Après tout, les hôpitaux restent parmi les cibles les plus probables des attaques de ransomwares.

Outils de rançongiciel

Les opérateurs DarkSide modifient leur boîte à outils malveillante pour correspondre à la cible actuellement sélectionnée. Bien que cette méthode nécessite beaucoup plus d'efforts que de simplement déployer le même exécutable de ransomware tout le temps, elle garantit une plus grande chance de succès. La menace de ransomware supprime les clichés instantanés de volume sur le système compromis via une commande PowerShell. Par la suite, le logiciel malveillant mettra fin à de nombreuses bases de données, applications, clients de messagerie, etc., en préparation du lancement de sa routine de chiffrement. DarkSide, cependant, évite de falsifier le processus suivant:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

L'inclusion de TeamViewer dans cette liste est plutôt curieuse et peut suggérer que l'acteur de la menace s'appuie sur l'application pour accéder à distance aux ordinateurs compromis.

La note de rançon affichée sera également faite sur mesure pour la cible actuellement choisie. Les notes incluent généralement la quantité exacte de données collectées par les pirates, son type et un lien vers le serveur distant où les données ont été téléchargées. Les informations acquises sont utilisées comme un puissant outil d'extorsion. Si l'organisation violée refuse de répondre aux demandes de DarkSide, les données peuvent être vendues à des concurrents ou simplement rendues publiques et nuire gravement à la réputation de la victime.