玄幻小说排行榜完本,完美世界官网

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

勒索組織DarkSide“發(fā)家史”

唯利是圖的網(wǎng)絡(luò)黑客、劫富濟貧的羅賓漢、俄羅斯背景的攻擊者。

以上是DarkSide勒索軟件集團在大眾面前凹的“人設(shè)”。

自今年5月攻擊美國輸油管道公司Colonial Pipeline之后，DarkSide“一炮而紅”。大眾的目光紛紛聚集到這個被發(fā)現(xiàn)不到1年的新組織。

網(wǎng)絡(luò)安全技術(shù)公司Cybereason稱，DarkSide 勒索軟件集團是一群有組織的攻擊者，他們通過勒索實體企業(yè)以及向其他犯罪分子出售勒索軟件工具賺錢。

DarkSide于 2020 年 8 月被首次發(fā)現(xiàn)，組織的地理位置和背景尚未被證實。Cybereason也指出，DarkSide此前未攻擊過總部設(shè)在俄羅斯等前蘇聯(lián)國家的企業(yè)。

但在攻擊Colonial Pipeline之后，美國執(zhí)法部門加強了對DarkSide的審查，當(dāng)月，DarkSide宣布關(guān)閉其業(yè)務(wù)。

DarkSide曾公開表示，“我們(組織)是非政治性的，和地緣政治無關(guān)，不要把我們與某個具體的政府聯(lián)系在一起推測動機?！?/p>

勒索的“邊界感”

Cybereason首席安全官Sam Curry表示，DarkSide在實施勒索攻擊時似乎有一種“邊界感”，其主要目標(biāo)是英語國家的營利性公司。例如，它會告訴客戶避開醫(yī)院、療養(yǎng)院、學(xué)校、非營利組織和政府機構(gòu)等組織。

DarkSide也曾在2020年8月發(fā)布的一紙公開聲明中稱“我們的目標(biāo)是賺錢，而不是為了社會制造問題?！彼诼暶髦谐兄Z不攻擊醫(yī)院、學(xué)校、政府機構(gòu)、非營利組織和非商業(yè)組織。

該組織甚至宣稱，已經(jīng)將部分勒索所得的收入捐贈給慈善機構(gòu)，具體為兩筆分別為1萬美元的資金。

但威脅情報公司分析師的首席安全策略師喬恩·迪馬吉奧(Jon DiMaggio)表示，這更像一種公關(guān)花招以提高老牌度。

迪馬吉奧說：“當(dāng)Darkside宣稱要捐款時，幾乎全球的網(wǎng)絡(luò)新聞媒體都對此做出了報道，這基本上是一個2萬美元成本的營銷，讓它名聲大噪。該組織的成員似乎有很強的‘自尊心’這也是他們?yōu)槭裁磿ν獍l(fā)布新聞稿、與媒體和研究員保持微妙聯(lián)系的原因?！?/p>

DarkSide“發(fā)家史”

DarkSide最初只有一名黑客，受雇于臭名昭著的勒索軟件服務(wù)提供商REvil。這名黑客在REvil習(xí)得網(wǎng)絡(luò)犯罪經(jīng)驗后，自行開發(fā)了與 REvil 共享代碼的勒索軟件新變種。

2020年 11 月，DarkSide 開始雇傭自己的分支機構(gòu)進行某些階段的攻擊，包括執(zhí)行攻擊的有效載荷。

卡巴斯基公司威脅勘探主管弗拉基米爾·庫斯科夫(Vladimir Kuskov)曾對媒體表示，DarkSide純粹出于利潤驅(qū)動，執(zhí)著于“大獵殺”，其目標(biāo)為大型公司和組織。通過其關(guān)聯(lián)關(guān)系，DarkSide 將其勒索軟件產(chǎn)品出售給合作伙伴，合作伙伴隨后可以從其他黑客那里購買組織訪問權(quán)限，以此部署實際的勒索軟件。

庫斯科夫說，勒索軟件產(chǎn)品適用于Windows和Linux。DarkSide根據(jù)這兩個版本都有嚴(yán)密的加密方案，如果沒有密鑰基本無法解密。

此前，DarkSide 給受害者提供的密鑰都相同，所有安全人員開始嘗試自建解密工具來幫助受害者恢復(fù)文件和數(shù)據(jù)。但現(xiàn)在DarkSide已經(jīng)意識到了這一缺陷，所以接下來的受害者無法通過這一途徑“自救”。

有安全公司總結(jié)，DarkSide組織極有耐心，組織嚴(yán)密，對受害者有深入了解，包括其技術(shù)設(shè)施和任何安全技術(shù)弱點。

DarkSide與其他網(wǎng)絡(luò)犯罪集團不同的是，他們使用非常復(fù)雜和隱秘的策略來感染和勒索受害者。他們的策略包括：

使用復(fù)雜的模糊技術(shù)來規(guī)避基于簽名的檢測機制
利用 TOR 發(fā)送命令和控制消息到遠程服務(wù)器來規(guī)避檢測
利用在伊朗的分布式存儲系統(tǒng)存儲從受害者那里竊取的數(shù)據(jù)
避免安裝端點檢測和響應(yīng) (EDR) 技術(shù)的節(jié)點
針對每個受害者定制有效載荷
刪除日志文件以掩蓋蹤跡
從文件、內(nèi)存和域控制器中收集憑據(jù)
刪除備份，包括影子副本

在建立對環(huán)境的深入了解、滲透相關(guān)數(shù)據(jù)、獲得特權(quán)帳戶的控制、建立后門并識別所有系統(tǒng)、服務(wù)器、應(yīng)用程序和備份之前，他們不會實際部署勒索軟件程序。他們還通過網(wǎng)絡(luò)聊天向受害者提供支持，并在發(fā)起攻擊之前對受害者進行財務(wù)分析。

有消息稱，Darkside正采用全新技術(shù)針對已經(jīng)在納斯達克或者其他股票市場上市的公司，試圖通過網(wǎng)絡(luò)攻擊手段做空企業(yè)，讓公司股價下跌，增加受害者的壓力。

4月20日，DarkSide的數(shù)據(jù)泄露網(wǎng)站上公開寫道：“我們的團隊和合作伙伴加密了許多納斯達克和其他證券交易所上市公司的數(shù)據(jù)。如果公司拒絕支付贖金，我們準(zhǔn)備公布攻擊信息，從而在股票減持價格中獲利。”

RaaS：勒索軟件即服務(wù)

2020年8月，DarkSide發(fā)布了RaaS(勒索軟件即服務(wù))，其中包括一個提供10%至25% 收益的附屬計劃。雖然Colonial Pipeline已恢復(fù)運營，但此后該集團一直瞄準(zhǔn)其他公司，包括建筑公司和美國其他行業(yè)經(jīng)銷商。

經(jīng)網(wǎng)絡(luò)安全公司及研究機構(gòu)追蹤，UNC2465、UNC2628和UNC2659被認為是DarkSide的主要附屬機構(gòu)之一。

在某些事件中，UNC2465用來部署除DarkSide勒索軟件以外的惡意軟件，有些時候即使DarkSide RaaS(勒索軟件即服務(wù))不再運行，一些支持性的基礎(chǔ)設(shè)施仍在運行，可以提供惡意軟件。

據(jù)安全公司火眼(FireEye)稱，UNC2628組織已經(jīng)與其他RaaS供應(yīng)商形成聯(lián)盟，例如同樣臭名昭著的REvil和Netwalker。

火眼還監(jiān)測到UNC2465、UNC2628利用釣魚郵件和合法服務(wù)植入一個基于PowerShell的后門SMOKEDHAM.NET?；鹧圻€報告了一個LNK文件，它鏈接到的URL是電商服務(wù)平臺Shopify。但目前DarkSide尚未公布對Shopify的動作。

另一家網(wǎng)絡(luò)安全公司RiskIQ也發(fā)現(xiàn)了一個LNK文件，同樣鏈接到Shopify，并且該鏈接重定向后還是Shopify的鏈接，該鏈接指向的第三個鏈接，則包含在Shopify主機上托管的SMOKEDHAM.NET后門。該后門可以執(zhí)行鍵盤記錄、屏幕截圖和執(zhí)行任意.NET命令。

火眼在6月17日還報告過??UNC2465組織對一家名為Dahua的安防廠商發(fā)起供應(yīng)鏈攻擊??。UNC2465將惡意代碼植入Dahua SmartPSS Windows應(yīng)用程序中，火眼推測UNC2465可能對其軟件安裝包進行木馬化。

在以往的攻擊事件中，一旦部署后門，UNC2465會在24小時內(nèi)建立一個NGROK隧道并進行橫向移動。五天后，UNC2465攻擊者會回返并部署其他工具，如鍵盤記錄器、Cobalt Strike BEACON，并通過轉(zhuǎn)儲LSASS內(nèi)存收集憑據(jù)。

專家提醒，一個全面的安全項目需要適應(yīng)不斷變化的安全環(huán)境。UNC2465攻擊方式的轉(zhuǎn)變令人擔(dān)憂，從對網(wǎng)站訪問者的掛馬攻擊或郵件釣魚攻擊轉(zhuǎn)變?yōu)檐浖?yīng)鏈攻擊，對威脅檢測提出了新挑戰(zhàn)。雖然在Colonial Pipeline輸油管道攻擊之后，許多企業(yè)更加關(guān)注外圍防御和雙重身份驗證，但對端點的監(jiān)測常常被忽視或只采用傳統(tǒng)的病毒防御手段。

網(wǎng)站標(biāo)題：勒索組織DarkSide“發(fā)家史”
標(biāo)題網(wǎng)址：http://m.fisionsoft.com.cn/article/dpiihgo.html

新聞中心

勒索的“邊界感”

DarkSide“發(fā)家史”

RaaS：勒索軟件即服務(wù)

其他資訊