Detectar el Ransomware DarkSide con SOC Prime

El ransomware DarkSide, un jugador relativamente nuevo en el ámbito de las amenazas cibernéticas, sigue acaparando titulares por ataques exitosos contra proveedores líderes mundiales. La lista de las intrusiones recientes incluye a la empresa de distribución química Brenntag, que pagó $4.4 millones de rescate a los adversarios, y Colonial Pipeline, una empresa que provee suministro de combustible para la Costa Este de EE. UU.

Descripción general del ransomware DarkSide

Después de surgir en un foro clandestino de habla rusa en agosto de 2020, DarkSide se convirtió en una amenaza popular de Ransomware como Servicio (RaaS) que depende de terceros adversarios para la infección y el cifrado de redes. A su vez, los desarrolladores de DarkSide ganan el 20-30% de las ganancias en caso de un ataque exitoso. Notablemente, los mantenedores del ransomware siguen reglas estrictas y prohíben a sus afiliados atacar empresas que operan en los sectores de salud, educación, ONG y público. Además, la banda de DarkSide se esfuerza por jugar a lo grande, instruyendo a sus socios para que solo ataquen negocios prominentes.

Para aumentar la notoriedad de DarkSide, los mantenedores del ransomware apoyan la reciente tendencia de la doble extorsión. En particular, los hackers no solo cifran datos sensibles durante el ataque, sino que también roban detalles confidenciales. Como resultado, las empresas se ven presionadas a pagar el rescate para prevenir filtraciones de datos, a pesar de la capacidad de restaurar información desde copias de seguridad.

Para ejercer la máxima presión sobre las víctimas, en marzo de 2021, los operadores de DarkSide organizaron un «servicio de llamadas» dedicado, permitiendo a los hackers llamar a sus objetivos directamente desde el panel de gestión. Además, DarkSide mantiene un sitio de fugas de datos que tiene cobertura mediática avanzada y visitas regulares. En caso de que los métodos mencionados no sean efectivos, desde abril de 2021, los afiliados de DarkSide tienen la capacidad de lanzar ataques de denegación de servicio distribuido (DDoS) contra sus objetivos para presionarlos a pagar el rescate.

Cadena de eliminación de ataque

Los operadores de DarkSide suelen confiar en el phishing, el abuso del protocolo de escritorio remoto (RDP) o vulnerabilidades conocidas para la infección inicial. Además, los adversarios aprovechan maliciosamente herramientas legítimas para evadir la detección y ofuscar su actividad.

Tras la intrusión, los atacantes realizan movimientos laterales dentro de la red comprometida para obtener acceso al Controlador de Dominio (DC) o al Directorio Activo. El objetivo de esta operación es obtener credenciales, escalar privilegios e identificar otros activos importantes que sirvan para la exfiltración de datos. Es una fase extra-importante del ataque, ya que permite a los operadores del ransomware identificar datos corporativos críticos que serían exfiltrados posteriormente y utilizados para la doble extorsión.

El siguiente paso en la cadena de eliminación de ataque es la ejecución del ransomware DarkSide. Los actores de amenazas típicamente usan las herramientas Certutil y Bitsadmin para descargar el ransomware. Los métodos de cifrado varían dependiendo del sistema operativo objetivo. En el caso de Linux, los adversarios aplican un cifrado de flujo ChaCha20 con RSA-4096. Y para dispositivos Windows se utiliza Salsa20 con RSA-1024. Después del cifrado, el ransomware utiliza el comando Powershell para eliminar copias sombra de la red y deja una nota de rescate.

Víctimas de DarkSide

Los mantenedores de DarkSide eligen a sus víctimas analizando los registros financieros de las empresas y seleccionando las más rentables. Esta información también ayuda a los hackers a determinar la cantidad de rescate a extorsionar, con cifras típicas que varían entre $200,000 y $2 millones. Según la investigación de Trend Micro, los operadores de DarkSide han apuntado a más de 40 organizaciones importantes, ubicadas principalmente en EE. UU., Francia y Bélgica. Notablemente, DarkSide evita atacar empresas en países de la CIS.

El 7 de mayo de 2021, DarkSide apuntó con éxito a Colonial Pipeline, forzando el cierre de parte de su infraestructura. El incidente afectó gravemente el suministro de la Costa Este de EE. UU., causando significativas escaseces de gasolina, diésel, calefacción doméstica y otras en 18 estados. El FBI confirmó la responsabilidad de DarkSide por este ataque y sugirió con un alto nivel de confianza que los adversarios son de origen de Europa del Este. Además, el 14 de mayo de 2021, DarkSide logró hit forzar a Brenntag, distribuidor de productos químicos, a pagar un rescate de $4.4 millones para la restauración de datos.

Detección de DarkSide

Para proteger la infraestructura de su empresa de las infecciones de DarkSide, puede descargar un conjunto de reglas Sigma desarrolladas por el equipo de SOC Prime en cooperación con nuestros desarrolladores expertos de Threat Bounty.

Posibles patrones de ejecución de ransomware DarkSide (vía cmdline)

Indicadores posibles de ofuscación de Powershell (vía cmdline)

Además, recomendamos que inspeccione un artículo perspicaz sobre el panorama de DarkSide proporcionado por nuestro miembro de Threat Bounty, Emanuele De Lucia. El artículo contiene detalles valiosos sobre la detección de ransomware junto con la descripción del contenido de detección existente.

Suscríbase a Threat Detection Marketplace, una plataforma líder mundial de Detección como Código que permite a los profesionales de la seguridad potenciar sus operaciones de defensa cibernética. La biblioteca de SOC Prime agrega más de 100,000 consultas, analizadores, tableros listos para SOC, reglas YARA y Snort, modelos de Machine Learning y planes de respuesta a incidentes adaptados para 23 tecnologías líderes del mercado SIEM, EDR y NTDR. ¿Quiere participar en iniciativas de caza de amenazas? ¡Únase a nuestro programa Threat Bounty para un futuro más seguro!

Ir a la plataforma Unirse a Threat Bounty