Rileva DarkSide Ransomware con SOC Prime
Indice:
DarkSide ransomware, un giocatore relativamente nuovo nell’arena delle minacce informatiche, continua a fare notizia per attacchi riusciti contro fornitori leader mondiali. L’elenco delle recenti intrusioni include la società di distribuzione chimica Brenntag, che ha pagato agli avversari un riscatto di 4,4 milioni di dollari, e Colonial Pipeline, una società che fornisce carburante per la costa est degli Stati Uniti.
Panoramica di DarkSide Ransomware
Dopo essere emerso in un forum sotterraneo russofono nell’agosto 2020, DarkSide è diventato una minaccia Ransomware-as-a-Service (RaaS) popolare che si affida a terzi avversari per l’infezione e la crittografia della rete. A loro volta, gli sviluppatori di DarkSide guadagnano il 20-30% degli introiti in caso di attacco riuscito. È importante notare che i manutentori del ransomware seguono regole rigide e vietano ai loro affiliati di prendere di mira aziende operanti nei settori sanitario, educativo, ONG e pubblico. Inoltre, la gang di DarkSide si sforza di alzare la posta, istruendo i suoi partner a prendere di mira solo aziende importanti.
Per aggiungere alla notorietà di DarkSide, i manutentori del ransomware supportano la recente tendenza della doppia estorsione. In particolare, gli hacker non solo crittografano i dati sensibili durante l’attacco ma rubano anche dettagli riservati. Di conseguenza, le aziende sono spinte a pagare il riscatto per prevenire fughe di dati, nonostante la possibilità di ripristinare le informazioni dai backup.
Per mettere la massima pressione sulle vittime, a marzo 2021, gli operatori di DarkSide hanno organizzato un “servizio di chiamata” dedicato, permettendo agli hacker di chiamare i loro bersagli direttamente dal pannello di gestione. Inoltre, DarkSide mantiene un sito di fuga di dati che ha una copertura mediatica avanzata e visite regolari. Nel caso in cui i metodi sopra menzionati siano inefficaci, dal aprile 2021, gli affiliati di DarkSide hanno la capacità di lanciare attacchi di negazione del servizio distribuiti (DDoS) contro i loro bersagli per spingerli a pagare il riscatto.
Catena di Uccisione dell’Attacco
Gli operatori di DarkSide di solito si affidano al phishing, abuso del protocollo Remote Desktop (RDP) o a vulnerabilità note per l’infezione iniziale. Inoltre, gli avversari utilizzano illegittimamente strumenti legittimi per eludere il rilevamento e offuscare la loro attività.
Dopo l’intrusione, gli attaccanti compiono movimenti laterali all’interno della rete compromessa per ottenere l’accesso al Domain Controller (DC) o Active Directory. L’obiettivo di questa operazione è quello di scaricare credenziali, aumentare i privilegi e identificare altri beni importanti per l’esfiltrazione dei dati. È una fase extra-importante dell’attacco, permettendo agli operatori del ransomware di identificare dati aziendali critici che verrebbero ulteriormente esfiltrati e utilizzati per la doppia estorsione.
Il prossimo passo nella catena di uccisione dell’attacco è l’esecuzione del ransomware DarkSide. Gli attori della minaccia tipicamente usano gli strumenti Certutil e Bitsadmin per scaricare il ransomware. I metodi di crittografia variano a seconda del sistema operativo mirato. Nel caso di Linux, gli avversari applicano un cifrario a flusso ChaCha20 con RSA-4096. E per i dispositivi Windows viene utilizzato Salsa20 con RSA-1024. Dopo la crittografia, il ransomware utilizza il comando Powershell per eliminare copie shadow dalla rete e genera una nota di riscatto.
Vittime di DarkSide
I manutentori di DarkSide scelgono le loro vittime analizzando i registri finanziari delle aziende e selezionando le più redditizie. Queste informazioni aiutano anche gli hacker a determinare l’importo del riscatto da estorcere, con cifre tipiche che variano tra $200,000 e $2 milioni. Secondo la ricerca di Trend Micro, gli operatori di DarkSide hanno preso di mira più di 40 organizzazioni importanti, principalmente situate negli Stati Uniti, Francia e Belgio. È importante notare che DarkSide evita di colpire aziende nei paesi CIS.
Il 7 maggio 2021, DarkSide ha colpito con successo il Colonial Pipeline, costringendolo a chiudere parte della sua infrastruttura. L’incidente ha gravemente influenzato le forniture della costa est degli Stati Uniti, causando significative carenze di benzina, diesel, riscaldamento domestico e altri in 18 stati. L’FBI ha confermato la responsabilità di DarkSide per questo attacco e ha suggerito con un alto livello di fiducia che gli avversari siano di origine dell’Europa dell’Est. Inoltre, il 14 maggio 2021, DarkSide ha avuto successo con hit il distributore di prodotti chimici Brenntag e lo ha costretto a pagare un riscatto di 4,4 milioni di dollari per il ripristino dei dati.
Rilevamento di DarkSide
Per proteggere l’infrastruttura della tua azienda dalle infezioni da DarkSide, puoi scaricare un set di regole Sigma sviluppate dal Team SOC Prime in collaborazione con i nostri esperti sviluppatori Threat Bounty.
Possibili Modelli di Esecuzione del Ransomware DarkSide (via cmdline)
Possibili Indicatori di Offuscamento Powershell (via cmdline)
Inoltre, ti consigliamo di ispezionare un articolo approfondito sulla panoramica di DarkSide fornito dal nostro membro Threat Bounty, Emanuele De Lucia. L’articolo contiene dettagli preziosi sul rilevamento del ransomware insieme alla descrizione dei contenuti di rilevamento esistenti.
Iscriviti al Threat Detection Marketplace, una piattaforma leader mondiale di Detection as Code che consente ai professionisti della sicurezza di potenziare le loro operazioni di difesa informatica. La libreria SOC Prime aggrega oltre 100K query, parser, dashboard pronti per SOC, regole YARA e Snort, modelli di Machine Learning e Playbook di Risposta agli Incidenti su misura per 23 tecnologie leader di mercato SIEM, EDR e NTDR. Vuoi partecipare a iniziative di threat hunting? Unisciti al nostro programma Threat Bounty per un futuro più sicuro!
