DarkSide-Ransomware mit SOC Prime erkennen
Inhaltsverzeichnis:
DarkSide Ransomware, ein relativ neuer Akteur in der Cyber-Bedrohungslandschaft, erregt weiterhin Schlagzeilen mit erfolgreichen Angriffen auf weltweit führende Anbieter. Die Liste der jüngsten Eindringlinge umfasst das Chemiehandelsunternehmen Brenntag, das den Angreifern ein Lösegeld von 4,4 Millionen Dollar zahlte, und Colonial Pipeline, ein Unternehmen, das die Treibstoffversorgung für die Ostküste der USA sicherstellt.
Überblick über DarkSide Ransomware
Nachdem es im August 2020 in einem russischsprachigen Untergrundforum aufgetaucht war, wurde DarkSide zu einer beliebten Bedrohung durch Ransomware-as-a-Service (RaaS), die sich auf Drittanbieterangreifer für Infektionen und Netzwerknachahmungen stützt. Im Gegenzug verdienen DarkSide-Entwickler 20-30 % der Einnahmen im Falle eines erfolgreichen Angriffs. Bemerkenswert ist, dass die Ransomware-Betreiber strikte Regeln befolgen und ihre Partner daran hindern, Unternehmen anzugreifen, die im Gesundheitswesen, Bildungsbereich, in NGOs und öffentlichen Sektoren tätig sind. Darüber hinaus strebt die DarkSide-Gang an, das große Geschäft zu gewinnen und beauftragt ihre Partner, nur nach prominenten Unternehmen zu suchen.
Um DarkSides Bekanntheit zu erweitern, unterstützen die Ransomware-Betreiber den aktuellen Trend der doppelten Erpressung. Insbesondere verschlüsseln Hacker nicht nur sensible Daten während des Angriffs, sondern stehlen auch vertrauliche Details. Dadurch werden Unternehmen gezwungen, das Lösegeld zu zahlen, um Datenlecks zu verhindern, obwohl die Möglichkeit besteht, Informationen aus Sicherungskopien wiederherzustellen.
Um maximalen Druck auf die Opfer auszuüben, arrangierten DarkSide-Operatoren im März 2021 einen speziellen „Call Service“, mit dem Hacker ihre Ziele direkt vom Management-Panel aus anrufen können. Außerdem betreibt DarkSide eine Datenleck-Website, die fortschrittliche Medienberichterstattung und regelmäßige Besuche hat. Falls die oben genannten Methoden unwirksam sind, haben DarkSide-Partner seit April 2021 die Möglichkeit, DDoS-Angriffe gegen ihre Ziele startzurichten, um sie zur Zahlung des Lösegelds zu drängen.
Angriffskette
DarkSide-Operatoren setzen normalerweise auf Phishing, Missbrauch des Remote Desktop Protocol (RDP) oder bekannte Schwachstellen für die anfängliche Infektion. Darüber hinaus nutzen die Angreifer legitime Tools böswillig, um die Erkennung zu umgehen und ihre Aktivitäten zu verschleiern.
Nach dem Eindringen führen die Angreifer seitliche Bewegungen innerhalb des kompromittierten Netzwerks aus, um Zugriff auf den Domänencontroller (DC) oder das Active Directory zu erhalten. Das Ziel dieser Operation ist es, Anmeldeinformationen zu entnehmen, Privilegien zu eskalieren und andere wichtige Vermögenswerte zu identifizieren, die für die Datenexfiltration dienen. Es ist eine äußerst wichtige Phase des Angriffs, die es den Ransomware-Betreibern ermöglicht, kritische Unternehmensdaten zu identifizieren, die weiter exfiltriert und für die doppelte Erpressung verwendet werden.
Der nächste Schritt in der Angriffskette ist die Ausführung der DarkSide-Ransomware. Bedrohungsakteure verwenden typischerweise Certutil- und Bitsadmin-Tools, um die Ransomware herunterzuladen. Die Verschlüsselungsmethoden variieren je nach dem angezielten Betriebssystem. Bei Linux wenden die Angreifer einen ChaCha20-Stream-Cipher mit RSA-4096 an. Bei Windows-Geräten wird Salsa20 mit RSA-1024 verwendet. Nach der Verschlüsselung verwendet die Ransomware den Powershell-Befehl, um Schattenkopien aus dem Netzwerk zu löschen und hinterlässt eine Lösegeldforderung.
DarkSide-Opfer
Die DarkSide-Betreiber wählen ihre Opfer, indem sie die Finanzberichte der Unternehmen analysieren und die profitabelsten aussuchen. Diese Informationen helfen Hackern auch bei der Festlegung des zu erpressenden Lösegeldbetrags, wobei typische Beträge zwischen 200.000 und 2 Millionen Dollar variieren. Laut der Untersuchung von Trend Micro haben DarkSide-Operatoren über 40 große Organisationen ins Visier genommen, die sich hauptsächlich in den USA, Frankreich und Belgien befinden. Bemerkenswert ist, dass DarkSide es vermeidet, Unternehmen in den GUS-Staaten anzugreifen.
Am 7. Mai 2021 nahm DarkSide erfolgreich die Colonial Pipeline ins Visier, was dazu führte, dass ein Teil ihrer Infrastruktur abgeschaltet wurde. Der Vorfall beeinträchtigte stark die Versorgung an der US-Ostküste und führte zu erheblichen Engpässen bei Benzin, Diesel, Heizung und anderen Produkten in 18 Bundesstaaten. Das FBI bestätigte die Verantwortung DarkSides für diesen Angriff und schlug mit hoher Sicherheit vor, dass die Angreifer osteuropäischer Herkunft sind. Auch am 14. Mai 2021 zwang DarkSide erfolgreich hit den Brenntag-Chemiehändler zur Zahlung eines Lösegelds von 4,4 Millionen Dollar zur Datenwiederherstellung.
Erkennung von DarkSide
Um Ihre Unternehmensinfrastruktur vor DarkSide-Infektionen zu schützen, können Sie ein Set von Sigma-Regeln herunterladen, das vom SOC Prime Team in Zusammenarbeit mit unseren erfahrenen Threat Bounty-Entwicklern entwickelt wurde.
Mögliche Ausführungsmuster von DarkSide Ransomware (über Befehlszeile)
Mögliche Anzeichen von Powershell-Verschleierung (über Befehlszeile)
Wir empfehlen Ihnen auch, einen aufschlussreichen Artikel über den DarkSide-Überblick von unserem Threat Bounty-Mitglied, Emanuele De Lucia. Der Artikel enthält wertvolle Details zur Erkennung von Ransomware sowie die Beschreibung bestehender Erkennungsinhalte.
Abonnieren Sie den Threat Detection Marketplace, eine weltweit führende Detection as Code-Plattform, die Sicherheitspraktikern hilft, ihre Cyberabwehroperationen zu optimieren. Die SOC Prime-Bibliothek aggregiert über 100.000 Abfragen, Parser, SOC-bereite Dashboards, YARA- und Snort-Regeln, Machine Learning-Modelle und Incident Response-Playbooks, die auf 23 marktführende SIEM-, EDR- und NTDR-Technologien zugeschnitten sind. Möchten Sie an Bedrohungsjagd-Initiativen teilnehmen? Nehmen Sie an unserem Threat Bounty-Programm für eine sicherere Zukunft teil!
