Detectar o Ransomware DarkSide com o SOC Prime
Índice:
DarkSide ransomware, um ator relativamente novo na arena de ameaças cibernéticas, continua a ganhar manchetes por ataques bem-sucedidos contra fornecedores líderes mundiais. A lista de intrusões recentes inclui a empresa de distribuição química Brenntag, que pagou aos adversários um resgate de $4,4 milhões, e a Colonial Pipeline, uma empresa que fornece suprimento de combustível para a Costa Leste dos EUA.
Visão Geral do DarkSide Ransomware
Após emergir em um fórum clandestino de falantes de russo em agosto de 2020, o DarkSide tornou-se uma ameaça popular de Ransomware-como-Serviço (RaaS) que depende de adversários terceiros para infecção e criptografia de rede. Em troca, os desenvolvedores do DarkSide ganham 20-30% dos lucros em caso de um ataque bem-sucedido. Notavelmente, os mantenedores do ransomware seguem regras rígidas e proíbem seus afiliados de alvo em empresas operando nos setores de saúde, educação, ONG e setor público. Além disso, a gangue do DarkSide busca jogar o grande jogo, instruindo seus parceiros a atacar apenas negócios proeminentes.
Para adicionar notoriedade ao DarkSide, os mantenedores do ransomware apoiam a recente tendência de dupla extorsão. Particularmente, os hackers não somente criptografam dados sensíveis durante o ataque, mas também roubam detalhes confidenciais. Como resultado, as empresas são pressionadas a pagar o resgate para prevenir vazamentos de dados, apesar da capacidade de restaurar informações a partir de backups.
Para colocar máxima pressão sobre as vítimas, em março de 2021, os operadores do DarkSide organizaram um “serviço de chamadas” dedicado, permitindo que hackers liguem para seus alvos diretamente a partir do painel de gestão. Além disso, o DarkSide mantém um site de vazamento de dados que tem ampla cobertura da mídia e visitas regulares. Caso os métodos acima mencionados sejam ineficazes, desde abril de 2021, os afiliados do DarkSide têm a capacidade de lançar ataques de negação de serviço distribuído (DDoS) contra seus alvos para forçá-los a pagar o resgate.
Cadeia de Ataque
Os operadores do DarkSide geralmente dependem de phishing, abuso de protocolo de desktop remoto (RDP) ou vulnerabilidades conhecidas para a infecção inicial. Além disso, os adversários usam maliciosamente ferramentas legítimas para evadir a detecção e ofuscar sua atividade.
Após a intrusão, os atacantes realizam movimento lateral dentro da rede comprometida para ganhar acesso ao Controlador de Domínio (DC) ou ao Active Directory. O objetivo desta operação é despejar credenciais, escalar privilégios e identificar outros ativos importantes que servirão para a exfiltração de dados. É uma fase extra-importante do ataque, permitindo que os operadores de ransomware identifiquem dados corporativos críticos que seriam posteriormente exfiltrados e usados para dupla extorsão.
A próxima etapa na cadeia de ataque é a execução do ransomware DarkSide. Os atores da ameaça geralmente usam as ferramentas Certutil e Bitsadmin para baixar o ransomware. Os métodos de criptografia variam dependendo do sistema operacional alvo. No caso do Linux, os adversários aplicam um cifrador de fluxo ChaCha20 com RSA-4096. E para dispositivos Windows é usado o Salsa20 com RSA-1024. Após a criptografia, o ransomware utiliza o comando Powershell para apagar cópias de sombra da rede e lança uma nota de resgate.
Vítimas do DarkSide
Os mantenedores do DarkSide escolhem suas vítimas analisando os registros financeiros das empresas e selecionando as mais lucrativas. Esta informação também ajuda os hackers a determinar o valor do resgate a ser extorquido, com valores típicos variando entre $200.000 e $2 milhões. De acordo com a pesquisa da Trend Micro, os operadores do DarkSide já miraram mais de 40 grandes organizações, localizadas principalmente nos EUA, França e Bélgica. Notavelmente, o DarkSide evita atacar empresas em países da CIS.
Em 7 de maio de 2021, o DarkSide atacou com sucesso a Colonial Pipeline, forçando parte de sua infraestrutura a fechar. O incidente afetou significativamente os suprimentos da Costa Leste dos EUA, causando falta significativa de gasolina, diesel, aquecimento doméstico, entre outros, em 18 estados. O FBI confirmou a responsabilidade do DarkSide por este ataque e sugeriu com um alto nível de confiança que os adversários são de origem da Europa Oriental. Além disso, em 14 de maio de 2021, o DarkSide teve sucesso em hit alvo distribuidora de produtos químicos Brenntag e a forçou a pagar um resgate de $4,4 milhões para restauração de dados.
Detecção do DarkSide
Para proteger a infraestrutura da sua empresa de infecções pelo DarkSide, você pode baixar um conjunto de regras Sigma desenvolvidas pela equipe SOC Prime em cooperação com nossos experientes desenvolvedores do Threat Bounty.
Possíveis Padrões de Execução do DarkSide Ransomware (via linha de comando)
Possíveis Indicadores de Ofuscação do Powershell (via linha de comando)
Também recomendamos que você inspecione um artigo perspicaz sobre a visão geral do DarkSide fornecido por nosso membro do Threat Bounty, Emanuele De Lucia. O artigo contém detalhes valiosos sobre a detecção de ransomware juntamente com a descrição do conteúdo de detecção existente.
Inscreva-se no Threat Detection Marketplace, uma plataforma líder mundial de Detecção como Código que permite aos profissionais de segurança melhorar suas operações de defesa cibernética. A biblioteca da SOC Prime agrega mais de 100.000 consultas, parsers, dashboards prontos para SOC, regras YARA e Snort, modelos de Machine Learning e Playbooks de Resposta a Incidentes adaptados para 23 tecnologias líderes de mercado de SIEM, EDR e NTDR. Quer participar de iniciativas de caça a ameaças? Junte-se ao nosso programa Threat Bounty para um futuro mais seguro!
