Исследователи безопасности рассказали о вымогателе DarkSide

[Artifact]

Злоумышленники способны осуществлять DDoS-атаки против жертв, не желающих платить выкуп.

На прошлой неделе операторы вымогательского ПО DarkSide совершили кибератаку на крупнейшую компанию-оператора трубопровода для нефтепродуктов в США Colonial Pipeline. ИБ-фирмы и исследователи в области кибербезопасности поделились информацией о группировке, ответственной за инцидент.
Операторы DarkSide действуют по бизнес-модели «вымогательское-ПО-как-услуга» (RaaS), в рамках которой их клиенты могут распространять вредоносное ПО в обмен на процент от суммы выкупа. На сегодняшний день выявлено не менее пяти русскоязычных партнеров DarkSide.
Группировка DarkSide ведет блог в сети Tor, где хвастается взломанными организациями. Злоумышленники способны осуществлять атаки типа «отказ в обслуживании» (DDoS) против жертв, не желающих платить выкуп.
Жертвам предоставляется возможность напрямую договариваться о выплате выкупа с преступниками. В одном случае злоумышленники потребовали выкуп в размере $30 млн, но после переговоров жертве удалось снизить сумму до $11 млн. Хакеры также пообещали удалить все украденные данные и больше не нападать на сеть компании.
По словам исследователей в области безопасности из компании Intel 471, для первоначального доступа злоумышленники используют учетные данные, приобретенные на подпольных форумах, брутфорс-атаки и рассылку спама по электронной почте для распространения вредоносного ПО. В таких атаках использовалась как минимум одна уязвимость нулевого дня.
Инструменты постэксплуатации, используемые в атаках DarkSide, могут включать Cobalt Strike, Metasploit, BloodHound, Mimikatz, фреймворк Custom Command and Control (C3) F-Secure Labs, TeamViewer, бэкдор SMOKEDHAM и утилиту NGROK.
Один из партнеров группировки устанавливает программу-вымогатель только через три дня после первоначального взлома, а другой имеет тенденцию скрываться в скомпрометированных сетях в течение месяцев, прежде чем сделать аналогичный шаг.
Во вторник, 11 мая, Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР выпустили предупреждение , призванное помочь организациям не стать жертвой атак программ-вымогателей DarkSide.