DarkSide APT

DarkSide APT Descripción

DarkSide APT es un actor de amenazas cibernéticas que sigue el modelo de la tendencia Ransomware-as-a-Corporation (RaaC). El grupo se especializa en implementar ataques de ransomware contra objetivos específicamente elegidos. Algunos investigadores de infosec han estimado que DarkSide ha logrado extorsionar a sus víctimas por un total de $ 1 millón.

Las tácticas, técnicas y procedimientos generales (TTPS) de DarkSide muestran grandes similitudes y, en muchos casos, se superponen con los métodos vistos en campañas de ataque de otras APT como Sodinokibi, DoppelPaymer, Maze y NetWalker. Sin embargo, lo que distingue a DarkSide es el enfoque altamente específico del grupo al seleccionar a sus víctimas, la creación de ejecutables de ransomware personalizados para cada organización objetivo y las características corporativas que han adoptado.

Comunicado de prensa oficial para mayor legitimidad

DarkSide anunció el inicio de su operación de ransomware a través de un comunicado de prensa publicado en su sitio web Tor. Si bien esta no es la primera vez que los actores de amenazas han confiado en los comunicados de prensa como canal de comunicación, sigue siendo poco común. Sin embargo, los comunicados de prensa tienen algunas ventajas: permiten a los ciberdelincuentes proyectar una imagen de una entidad profesional en la que se puede confiar para defender su parte en cualquier negociación y, al mismo tiempo, atraer una mayor atención de los medios simultáneamente, lo que puede utilizarse como palanca contra cualquier organización vulnerada. Después de todo, la mayoría de las APT de ransomware han comenzado a recopilar datos privados antes de bloquear los archivos en las máquinas infectadas. La información exfiltrada se convierte en un arma y la participación de los medios de comunicación podría significar un daño aún mayor a la reputación de la empresa afectada.

¿Hackers con código moral?

En su comunicado de prensa, los hackers de DarkSide describen varios aspectos de sus operaciones futuras. Al parecer, los ciberdelincuentes se abstendrán de lanzar ataques contra sectores críticos o vulnerables como hospitales, escuelas e incluso entidades gubernamentales. Además de eso, el grupo APT aclara que tienen la intención de perseguir objetivos basados en los ingresos financieros de esa entidad, lo que implica que evitarán empresas que ya tienen dificultades financieras. Si bien estas son algunas intenciones verdaderamente nobles, al menos para una organización de ciberdelincuentes, queda por ver si DarkSide logrará cumplirlas. Después de todo, los hospitales siguen siendo uno de los objetivos más probables de los ataques de ransomware.

Herramientas de ransomware

Los operadores de DarkSide modifican su kit de herramientas maliciosas para que coincida con el objetivo seleccionado actualmente. Si bien este método requiere mucho más esfuerzo que simplemente implementar el mismo ejecutable de ransomware todo el tiempo, garantiza una mayor probabilidad de éxito. La amenaza de ransomware elimina las instantáneas de volumen en el sistema comprometido a través de un comando de PowerShell. Posteriormente, el malware terminará numerosas bases de datos, aplicaciones, clientes de correo y más como preparación para iniciar su rutina de cifrado. DarkSide, sin embargo, evita alterar el siguiente proceso:

  • Vmcompute.exe
  • Vmms.exe
  • Vmwp.exe
  • Svchost.exe
  • TeamViewer.exe
  • Explorer.exe

La inclusión de TeamViewer en esa lista es bastante curiosa y puede sugerir que el actor de amenazas confía en la aplicación para el acceso remoto a las computadoras comprometidas.

La nota de rescate que se muestra también se personalizará para el objetivo elegido actualmente. Las notas generalmente incluyen la cantidad exacta de datos recopilados por los piratas informáticos, su tipo y un enlace al servidor remoto donde se cargaron los datos. La información adquirida se utiliza como una potente herramienta de extorsión. Si la organización violada se niega a cumplir con las demandas de DarkSide, los datos pueden venderse a la competencia o simplemente divulgarse al público y dañar gravemente la reputación de la víctima.