Исследователи безопасности рассказали о вымогателе DarkSide
13 мая 2021 года
На прошлой неделе операторы вымогательского ПО DarkSide совершили кибератаку на крупнейшую компанию-оператора трубопровода для нефтепродуктов в США Colonial Pipeline. ИБ-фирмы и исследователи в области кибербезопасности поделились информацией о группировке, ответственной за инцидент.
Операторы DarkSide действуют по бизнес-модели «вымогательское-ПО-как-услуга» (RaaS), в рамках которой их клиенты могут распространять вредоносное ПО в обмен на процент от суммы выкупа. На сегодняшний день выявлено не менее пяти русскоязычных партнеров DarkSide.
Группировка DarkSide ведет блог в сети Tor, где хвастается взломанными организациями. Злоумышленники способны осуществлять атаки типа «отказ в обслуживании» (DDoS) против жертв, не желающих платить выкуп.
Жертвам предоставляется возможность напрямую договариваться о выплате выкупа с преступниками. В одном случае злоумышленники потребовали выкуп в размере $30 млн, но после переговоров жертве удалось снизить сумму до $11 млн. Хакеры также пообещали удалить все украденные данные и больше не нападать на сеть компании.
По словам исследователей в области безопасности из компании Intel 471, для первоначального доступа злоумышленники используют учетные данные, приобретенные на подпольных форумах, брутфорс-атаки и рассылку спама по электронной почте для распространения вредоносного ПО. В таких атаках использовалась как минимум одна уязвимость нулевого дня.
Инструменты постэксплуатации, используемые в атаках DarkSide, могут включать Cobalt Strike, Metasploit, BloodHound, Mimikatz, фреймворк Custom Command and Control (C3) F-Secure Labs, TeamViewer, бэкдор SMOKEDHAM и утилиту NGROK.
Один из партнеров группировки устанавливает программу-вымогатель только через три дня после первоначального взлома, а другой имеет тенденцию скрываться в скомпрометированных сетях в течение месяцев, прежде чем сделать аналогичный шаг.
Во вторник, 11 мая, Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР выпустили предупреждение, призванное помочь организациям не стать жертвой атак программ-вымогателей DarkSide.
Источники править
Эта статья содержит материалы из статьи «Исследователи безопасности рассказали о вымогателе DarkSide», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.