Détecter le ransomware DarkSide avec SOC Prime

[post-views]
mai 14, 2021 · 5 min de lecture
Détecter le ransomware DarkSide avec SOC Prime

Le ransomware DarkSide, un acteur relativement nouveau dans le domaine des cybermenaces, continue de faire la une des journaux pour ses attaques réussies contre des fournisseurs de premier plan mondial. La liste des intrusions récentes inclut l’entreprise de distribution chimique Brenntag, qui a payé une rançon de 4,4 millions de dollars, ainsi que Colonial Pipeline, une entreprise fournissant du carburant pour la côte Est des États-Unis.

Aperçu du ransomware DarkSide

Après son apparition sur un forum souterrain russophone en août 2020, DarkSide est devenu une menace Ransomware-as-a-Service (RaaS) populaire qui s’appuie sur des tiers adversaires pour l’infection et le chiffrement du réseau. En retour, les développeurs de DarkSide gagnent 20 à 30 % des profits en cas d’attaque réussie. Notablement, les mainteneurs du ransomware suivent des règles strictes et interdisent à leurs affiliés de cibler des entreprises opérant dans les secteurs de la santé, de l’éducation, des ONG et du public. De plus, le groupe DarkSide s’efforce de jouer à grande échelle, en instruisant ses partenaires de s’attaquer uniquement aux grandes entreprises.

Pour ajouter à la notoriété de DarkSide, les mainteneurs du ransomware soutiennent la tendance récente de la double extorsion. En particulier, les hackers ne se contentent pas de chiffrer les données sensibles lors de l’attaque, mais volent également des informations confidentielles. En conséquence, les entreprises sont poussées à payer la rançon pour éviter les fuites de données, malgré la possibilité de restaurer les informations depuis des sauvegardes.

Pour mettre un maximum de pression sur les victimes, en mars 2021, les opérateurs de DarkSide ont mis en place un « service d’appel » dédié, permettant aux hackers d’appeler leurs cibles directement depuis le panneau de gestion. De plus, DarkSide maintient un site de fuite de données qui bénéficie d’une couverture médiatique avancée et de visites régulières. Si les méthodes mentionnées ci-dessus sont inefficaces, depuis avril 2021, les affiliés de DarkSide ont la capacité de lancer des attaques par déni de service distribué (DDoS) contre leurs cibles pour les pousser à payer la rançon.

Chaîne de destruction d’attaque

Les opérateurs de DarkSide s’appuient généralement sur le hameçonnage, l’abus de protocole de bureau à distance (RDP) ou des vulnérabilités connues pour l’infection initiale. De plus, les adversaires utilisent de manière malveillante des outils légitimes pour échapper à la détection et obfusquer leur activité.

Lors de l’intrusion, les attaquants effectuent un mouvement latéral à l’intérieur du réseau compromis pour obtenir un accès au contrôleur de domaine (DC) ou à Active Directory. Le but de cette opération est de vider les informations d’identification, d’escalader les privilèges et d’identifier d’autres actifs importants servant à l’exfiltration des données. C’est une phase extrêmement importante de l’attaque, permettant aux opérateurs de ransomware d’identifier les données d’entreprise critiques qui seront ultérieurement exfiltrées et utilisées pour la double extorsion.

L’étape suivante dans la chaîne de destruction de l’attaque est l’exécution du ransomware DarkSide. Les acteurs de la menace utilisent généralement les outils Certutil et Bitsadmin pour télécharger le ransomware. Les méthodes de chiffrement varient selon le système d’exploitation ciblé. Dans le cas de Linux, les adversaires appliquent un chiffre de flux ChaCha20 avec RSA-4096. Et pour les appareils Windows, Salsa20 avec RSA-1024 est utilisé. Après le chiffrement, le ransomware utilise la commande Powershell pour supprimer les copies de l’ombre du réseau et laisse une note de rançon.

Victimes de DarkSide

Les mainteneurs de DarkSide choisissent leurs victimes en analysant les dossiers financiers des entreprises et en sélectionnant les plus rentables. Ces informations aident également les hackers à déterminer le montant de la rançon à extorquer, avec des montants typiques variant entre 200 000 et 2 millions de dollars. Selon le recherche de Trend Micro, les opérateurs de DarkSide ont ciblé plus de 40 grandes organisations, principalement situées aux États-Unis, en France et en Belgique. Notamment, DarkSide évite de cibler les entreprises dans les pays de la CEI.

Le 7 mai 2021, DarkSide a réussi à cibler le Colonial Pipeline, obligeant une partie de son infrastructure à s’arrêter. L’incident a fortement affecté les approvisionnements de la côte Est des États-Unis, causant d’importantes pénuries d’essence, de diesel, de chauffage domestique et autres dans 18 États. Le FBI a confirmé la responsabilité de DarkSide dans cette attaque et a suggéré avec un haut niveau de confiance que les adversaires sont d’origine d’Europe de l’Est. Aussi, le 14 mai 2021, DarkSide a hit Brenntag, distributeur de produits chimiques, et l’a forcé à payer une rançon de 4,4 millions de dollars pour la restauration des données.

Détection de DarkSide

Pour protéger l’infrastructure de votre entreprise contre les infections de DarkSide, vous pouvez télécharger un ensemble de règles Sigma développées par l’équipe SOC Prime en coopération avec nos développeurs Threat Bounty expérimentés.

Modèles d’exécution possibles du ransomware DarkSide (via cmdline)

Indicateurs possibles d’obfuscation Powershell (via cmdline)

Nous vous recommandons également de lire un article instructif sur l’aperçu de DarkSide fourni par notre membre de Threat Bounty, Emanuele De Lucia. L’article contient des informations précieuses sur la détection des ransomwares ainsi qu’une description du contenu de détection existant.

Abonnez-vous au Threat Detection Marketplace, une plateforme de détection en tant que code de premier plan permettant aux praticiens de la sécurité de renforcer leurs opérations de défense cybernétique. La bibliothèque de SOC Prime regroupe plus de 100 000 requêtes, analyseurs, tableaux de bord prêts pour le SOC, règles YARA et Snort, modèles d’apprentissage automatique et playbooks de réponse aux incidents adaptés à 23 technologies SIEM, EDR et NTDR leader du marché. Vous souhaitez participer à des initiatives de chasse aux menaces ? Rejoignez notre programme Threat Bounty pour un avenir plus sûr !

Aller à la plateforme Rejoignez Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités