Вход
Русский язык
Получайте программное обеспечение в течение нескольких минут с момента размещения заказа! Автоматическая система работает круглосуточно 24/7
(044) 593-74-75
(067) 460-43-39
(050) 433-68-20
sales@softlist.com.ua
0
(044) 593-74-75
(067) 460-43-39
(050) 433-68-20
sales@softlist.com.ua
Получайте программное обеспечение в течение нескольких минут с момента размещения заказа! Автоматическая система работает круглосуточно 24/7
Что известно о программе-вымогателе DarkSide

Что известно о программе-вымогателе DarkSide

7 июня 2021

В последнее время ведется значительный объем работы, направленный на борьбу с программой-вымогателем DarkSide. Напомним, 7 мая была совершена хакерская атака на крупнейший трубопровод в США Colonial Pipeline, что привело к временному отключению трубопровода.

В технических описаниях детально объясняется как DarkSide управляет партнерской моделью, которая включает другие бизнес-системы программ-вымогателей (кроме разработчиков). Вероятно, это не новое явление, модель используют большинство групп, потому что это эффективно.

darkside.jpg

Сейчас много внимание уделяется DarkSide, но не стоит забывать и о других вирусах-вымогателях REVIL, Cuba, Babuk, Ryuk. Эти и подобные группы используют общие алгоритмы атаки, и эти инструменты в большинстве случаях идентичны.
В этом материале рассмотрим более подробно о программе DarkSide.

Шифровальщик-вымогатель DarkSide: что это и как работает?

DarkSide - это программа-вымогатель, использующая услугу RaaS, в основе которой - выплата сторонним вымогателям ("партнерам") высокой прибыли в обмен на доступ к сетям. Программа инвестирует в разработку кода, партнеров и новых функций. Вымогатель работает не только с целью угрозы утечки данных, он может вести переговоры с компаниями по восстановлению, взаимодействовать со СМИ, и проводить распределенные атаки DDoS. Механизм работы взлома следующий - фирмы, так называемые "партнеры", которым вымогатель платит выкуп, получают уведомление от DarkSide об организациях, потерпевших атаку. А "партнеры", в свою очередь используют наработки DarkSide в обмен на оплату. 15 мая компания DarkSide объявила о расформировании, но эксперты предполагают, что злоумышленники могут появится под другим именем.

Инструмент сбора сведений об угрозах MVISION Insights позволяет определить зону активности вируса. Карта показывает, что главная географическая точка это – США. В разрезе отраслей основными атакующими мишенями являются юридические услуги, оптовая торговля, производство, нефтегазовая и химическая сфера.

Какие методы предпринять для защиты от DarkSide?

McAfee использует флагманское на рынке решение EPP. С его помощью программы-вымогатели выявляются методом раннего предотвращения и обнаружения.
Инструмент MVISION Insights даст возможность собрать данные об угрозах, учитывая анализ событий в конкретной сфере, регионе. Платформа обновляется по мере появления новой и актуальной информации.
MVISION EDR включает в себя обнаружение многих типов поведения, используемых в атаке, включая фреймворки для тестирования от атак злоумышленников PowerShell и CobaltStrike. Еще одна возможность MVISION EDR – доступна видимость команд обнаружения, управления, контроля и других тактик в цепочке атаки.
Телеметрия EDR указывает на раннее обнаружение до наступления наибольшей активности вымогателя.

ENS TP обеспечивает покрытие по известным индикаторам в последнем наборе сигнатур. Обновления по новым индикаторам реализовывается через GTI.
ENS ATP предоставляет поведенческий контент, ориентированный на упреждающие меры по обнаружению угрозы. ENS предоставляет известные IoC для обнаружения как в режиме онлайн, так и в автономном режиме.
ENS ATP добавляет два дополнительных уровня защиты. Благодаря правилам JTI, которые обеспечивают сокращение поверхности атаки для общего поведения программ-вымогателей и RealProtect (статический и динамический) с моделями машинного обучения, нацеленными на угрозы программ-вымогателей.

Технический анализ

Платформа RaaS предлагает партнеру возможность создать версию программы-вымогателя для Windows или Unix. В зависимости от того, что необходимо, можно заметить, что аффилированные лица используют разные методы для обхода обнаружения, маскируя сгенерированные двоичные файлы Windows DarkSide. Для этого можно использовать несколько упаковщиков или подтвердить двоичный файл сертификатом.

Команда хакеров могут использовать несколько способов для получения первоначального доступа к сети своей жертвы.
Основные профилактические меры для проведения технического анализа:
Используя действительные учетные записи, выявляйте уязвимости на серверах или RDP на начальном этапе
Затем установите отправной пункт в сети жертвы с помощью таких инструментов, как Cobalt-Strike (маяки), RealVNC, RDP, перенесенный через TOR, Putty, AnyDesk и TeamViewer. TeamViewer - это то, что мы также видим в конфигурации образца вымогателя:

process-to-avoid.jpg


Конфигурация программы-вымогателя содержит несколько параметров для включения или отключения системных процессов, а также указанную выше часть, в которой указано, какие процессы не следует устранять.
Как упоминалось ранее, многие текущие образцы Windows - это версия DarkSide 1.8, остальные - версия 2.1.2.3. Есть информация, что скоро выйдет версия V3.

В марте 2021, на XSS, хакеры объявили обновление DarkSide как версии PowerShell так и обновление основного варианта Linux.
После того, как была создана прочная точка опоры, используются несколько инструментов, чтобы получить больше преимуществ.
Наблюдаемые инструменты:

  • Mimikatz

  • Сброс LSASS

  • Дампер паролей IE / FireFox

  • Инструмент питания64

  • Империя

  • Обход UAC

После получения достаточного количества преимуществ, составляется карта сети, и определяются наиболее важные системы, такие как серверы, хранилище и другие активы. Было замечено, что в нескольких случаях использовались следующие инструменты:

  • BloodHound

  • ADFind

  • ADRecon

  • Инструменты сканирования IP

  • Несколько собственных инструментов Windows

  • Скрипты PowerShell

Перед распространением вымогателя по сети с помощью таких инструментов, как PsExec и PowerShell, данные были отправлены в облачные службы, которые позже будут использоваться на странице DarkSide Leak в целях вымогательства. Архивирование данных с использованием Rclone или WinSCP - вот некоторые из наблюдаемых примеров.
Несмотря на то, что существует много глубоких анализов, стоит отметить одну вещь: при запуске DarkSide процесс шифрования выполняется быстро. Это одна из областей, которыми хакеры хвастаются на одном форуме и проводят сравнение, чтобы убедить аффилированных лиц присоединиться к их программе:

DarkSide, как и программа-вымогатель Babuk, имеет версию для Linux. Обе нацелены на системы * nix, но, в частности, на серверы VMWare ESXi и хранилище / NAS.
Darkside выпустил схему в системе Linux, которая поддерживает шифрование серверов ESXI версий 5.0–7.1, а также технологию NAS от Synology. Они заявляют, что скоро будут поддерживаться другие технологии NAS / резервного копирования. В коде мы четко наблюдаем эту поддержку:

поддержка-кода.jpg

Заключение

Рабочая группа по программам-вымогателям создала партнерство, в котором McAfee гордится своим участием, выпустила подробную инструкцию о том, как происходят атаки программ-вымогателей и как следует принимать контрмеры.




Этот вебсайт использует файлы cookies для улучшения сайта и вашего опыта его использования. Используя этот сайт, вы даете согласие на их применение. Если вам нужна дополнительная информация, перейдите по ссылке

✔ Принять Узнать больше...