SOC Primeを使用してDarkSideランサムウェアを検出する

DarkSideランサムウェアは、サイバー脅威の分野で比較的新しいプレイヤーであり、世界的なベンダーに対する成功した攻撃でニュースの見出しを集め続けています。最近の侵入のリストには、敵対者に440万ドルの身代金を支払った化学品流通会社のBrenntagや、米国東海岸の燃料供給を提供する会社であるColonial Pipelineが含まれています。

DarkSideランサムウェアの概要

2020年8月にロシア語圏の地下フォーラムで登場した後、DarkSideは感染とネットワークの暗号化にサードパーティの敵対者を頼る人気の高いランサムウェア・アズ・ア・サービス（RaaS）脅威となりました。その代わりに、DarkSideの開発者は成功した攻撃の場合に収益の20-30%を得ます。特に、ランサムウェアの維持者は厳格な規則に従い、医療、教育、NGO、公共部門で運営している会社をターゲットにすることをその関連会社に禁止しています。さらに、DarkSideのグループは大企業を狙うよう指導し、大きなゲームをプレイすることを目指しています。

DarkSideの悪名を高めるために、ランサムウェアの維持者はダブルエクストーションの最近のトレンドをサポートしています。具体的には、ハッカーは攻撃中に機密データを暗号化するだけでなく、秘密の詳細を盗むこともあります。その結果、企業はデータ漏洩を防ぐために、バックアップから情報を復元できるにもかかわらず、身代金の支払いを余儀なくされます。

被害者に最大の圧力をかけるために、2021年3月にはDarkSideの運営者が専用の「コールサービス」を手配し、ハッカーが管理パネルから直接ターゲットに電話をかけることを可能にしました。また、DarkSideはメディア報道が進んだデータ漏洩サイトを維持しており、定期的に訪問されています。これまでの方法が効果的でない場合、2021年4月以降、DarkSideの関連社は、ランサム支払いを促すためにターゲットに対して分散型サービス拒否（DDoS）攻撃を開始する能力を持っています。

攻撃のキルチェーン

DarkSideの運営者は通常、フィッシング、リモートデスクトッププロトコル（RDP）の悪用、または既知の脆弱性を初期感染に利用します。さらに、敵対者は正規のツールを悪用して、検出を回避し、活動を隠蔽します。

侵入後、攻撃者はドメインコントローラー（DC）またはアクティブディレクトリへのアクセスを得るために、侵害されたネットワーク内部での横移動を行います。この操作の目的は、資格情報をダンプし、特権をエスカレートし、データ抽出のために重要な他の資産を特定することです。これは攻撃の重要なフェーズであり、ランサムウェアの運営者がさらに抽出してダブルエクストーションに使用する重要な企業データを特定することを可能にします。

攻撃のキルチェーンの次のステップは、DarkSideランサムウェアの実行です。脅威アクターは通常、CertutilおよびBitsadminツールを使用してランサムウェアをダウンロードします。暗号化方法はターゲットオペレーティングシステムによって異なります。Linuxの場合、敵対者はRSA-4096を使用してChaCha20ストリーム暗号を適用し、WindowsデバイスにはRSA-1024を使用してSalsa20を使います。暗号化後、ランサムウェアはネットワークからシャドウコピーを削除し、身代金のメモを落とすためにPowerShellコマンドを利用します。

DarkSideの犠牲者

DarkSideの維持者は、企業の財務記録を分析し、最も利益を上げられるものを選びます。この情報はまた、身代金の金額を決定するのに役立ち、通常の金額は20万ドルから200万ドルの間で変動します。 Trend Microの 研究によると、DarkSideの運営者は、主に米国、フランス、ベルギーにある40以上の主要組織を標的にしてきました。注目すべきことに、DarkSideはCIS諸国の企業を攻撃することを避けています。

2021年5月7日、DarkSideはColonial Pipelineを成功裏に標的化し、そのインフラの一部をシャットダウンせざるを得ませんでした。この事件は米国東海岸の供給に大きな影響を与え、18州で大規模なガソリン、ディーゼル、家庭用暖房油、その他の不足を引き起こしました。FBIは この攻撃に対するDarkSideの責任を確認し 、敵対者が東ヨーロッパ出身であるという高いレベルの確信を示しました。また、2021年5月14日、DarkSideは hit Brenntagの化学品販売業者を成功裏に標的化し、データ復元のために440万ドルの身代金を支払わせました。

DarkSideの検出

DarkSideの感染から企業インフラを保護するために、SOC Primeチームと経験豊富な脅威賞金開発者の協力により開発されたSigmaルールのセットをダウンロードできます。

可能なDarkSideランサムウェアの実行パターン（via cmdline）

可能なPowershellの難読化インジケータ（via cmdline）

また、私たちはDarkSideの概要についての 洞察に満ちた記事 をThreat Bountyのメンバー、Emanuele De Luciaが提供しています。この記事には、ランサムウェアの検出に関する価値ある詳細が、既存の検出コンテンツの説明と共に含まれています。

Threat Detection Marketplaceにサブスクライブしてください。これはサイバー防衛オペレーションを強化するために、セキュリティ専門家が利用する世界をリードするCodeプラットフォームとしての検出です。SOC Primeのライブラリは、23の市場をリードするSIEM、EDR、およびNTDR技術に対応した10万以上のクエリ、パーサー、SOC対応ダッシュボード、YARAおよびSnortルール、機械学習モデル、インシデントレスポンスプレイブックを集約しています。脅威ハンティングのイニシアチブへの参加に興味がありますか？より安全な未来のためにThreat Bountyプログラムに参加してください！

プラットフォームに移動 Threat Bountyに参加