Des chercheurs partagent des informations sur le cyber-gang en rupture
7 min read
À la suite de l’attaque du rançongiciel Colonial Pipeline – qui continue de perturber l’approvisionnement en carburant dans l’est et le sud des États-Unis – des chercheurs sur les menaces de toute la cybercommunauté ont échangé des informations sur le Côté obscur gang de ransomware, le groupe cybercriminel en plein essor qui s’est soudainement retrouvé au rang d’infamie mondiale.
Pour la première fois, il est entré en scène en août 2020 lorsqu’il a acquis une certaine notoriété en faire don d’une partie de ses bénéfices de rançon à des organismes de bienfaisance, DarkSide est un groupe médiatique (probablement basé en Russie) qui comprend comment se joue le «jeu» de la cybersécurité et se fait un avantage d’avoir une réputation «honorable», dans la mesure où une telle chose est possible dans le cyberespace. la pègre criminelle.
De toute évidence, disent les chercheurs, ses opérateurs aiment se voir comme des bandits de grand chemin, des types de Robin Hood qui volent les riches et donnent aux pauvres, même si bien sûr c’est un non-sens auto-agrandissant et un narcissisme délirant à la limite.
Mais il est intéressant de noter que, contrairement au comportement de recherche d’attention plus habituel présenté par d’autres syndicats de ransomwares, le groupe DarkSide a été essayant de se distancier de l’attaque, menant un exercice de relations publiques de limitation des dommages apparents, publiant une déclaration dans un anglais cassé selon lequel son objectif est «de gagner de l’argent et non de créer des problèmes pour la société». On ne sait pas précisément à partir de cette ligne ce qu’ils pensaient qu’ils faisaient jusqu’à présent.
DarkSide a également affirmé que l’attaque contre Colonial Pipeline était le fait d’une filiale et qu’elle contrôlerait plus assidûment à l’avenir la sélection des cibles par ses partenaires pour «éviter les conséquences sociales». Encore une fois, on ne sait pas exactement ce que le groupe pensait être les conséquences de ses autres attaques.
Sean Gallagher, Mark Loman et Peter Mackenzie de Sophos – qui ont eu affaire à plusieurs victimes de DarkSide via le service de réponse aux incidents de l’entreprise – ont déclaré que ce retour en arrière était probablement le résultat de l’impact potentiellement plus important de l’attaque de leur affilié sur le pipeline colonial.
«Cela a apparemment rendu les opérateurs de DarkSide plus notoires qu’ils ne sont à l’aise avec», ont-ils déclaré. dans un rapport récemment publié.
«Le gang avait précédemment promis d’épargner les organisations de soins de santé, ainsi que les autres personnes impliquées dans la distribution de vaccins, en raison de l’attention négative que de telles attaques pourraient potentiellement apporter depuis le pays d’origine du gang. Mais en raison de la façon dont DarkSide fonctionne, on ne sait pas quel contrôle les détenteurs de la marque DarkSide ont sur les affiliés qui font le travail réel de percer les réseaux et de lancer leur ransomware. “
Les chercheurs de FireEye Mandiant, Jordan Nuce, Jeremy Kennelly, Kimberly Goody, Andrew Moore, Alyssa Rahman, Brendan McKeague et Jared Wilson ont ajouté: «Une mise à jour récente de leur publicité sur le forum souterrain indique également que les acteurs peuvent tenter de DDoS [distributed denial of service] organisations de victimes.
«L’acteur ‘darksupp’ a déclaré qu’il est interdit aux affiliés de cibler les hôpitaux, les écoles, les universités, les organisations à but non lucratif et les entités du secteur public.
«Cela peut être un effort de la part des acteurs pour dissuader les forces de l’ordre, car le ciblage de ces secteurs peut inviter à un examen plus approfondi. Il est également interdit aux affiliés de cibler des organisations dans les pays de la Communauté d’États indépendants (CEI). »
Malgré sa soudaine réticence, DarkSide a jusqu’à présent suivi les traces des autres fameux gangs de ransomwares à double extorsion, tels que REvil / Sodinokibi, Maze et LockBit, exfiltrant des données et menaçant de les libérer si la victime ne payait pas. Cela se fait via un blog accessible à Tor. Il est cependant connu pour faire des demandes assez lourdes – un engagement de Sophos était avec une victime qui a été extorquée pour 4 millions de dollars (ils n’ont pas payé).
L’équipe de FireEye Mandiant a ajouté que les affiliés du gang reçoivent une réduction de 25% des frais de rançon pour les coups qui entraînent des paiements inférieurs à 500 000 dollars, et une réduction à 10% pour les paiements supérieurs à 5 millions de dollars.
Opération d’extorsion multiforme
L’équipe de Mandiant a déclaré qu’il était clair que le gang DarkSide devenait très compétent dans les «opérations d’extorsion multiformes». Il a noté la publication récente d’informations suggérant que DarkSide ciblerait le NASDAQ et d’autres sociétés cotées en divulguant à l’avance leurs attaques à des commerçants amis. pour qu’ils puissent court-circuiter les victimes et profiter de tout impact sur le cours de l’action.
«Dans un autre exemple notable», ont-ils déclaré, «un attaquant a pu obtenir la police d’assurance cybernétique de la victime et exploité ces informations pendant le processus de négociation de la rançon, refusant de réduire le montant de la rançon compte tenu de sa connaissance des limites de la politique.
«Cela renforce le fait que pendant la phase post-exploitation des incidents de ransomware, les acteurs menaçants peuvent s’engager dans une reconnaissance interne et obtenir des données pour augmenter leur pouvoir de négociation. Nous prévoyons que les tactiques d’extorsion utilisées par les acteurs de la menace pour faire pression sur les victimes continueront d’évoluer tout au long de 2021. »
Tactiques, techniques et procédures
Ils peuvent être des innovateurs à certains égards, mais pour les défenseurs soucieux d’arrêter une attaque DarkSide avant qu’elle ne se produise, les chercheurs semblent convenir que les tactiques, techniques et procédures technologiques (TTP) du gang DarkSide reflètent également d’autres ransomwares, incorporant un mélange de fonctionnalités Windows natives. , les logiciels malveillants de base et les outils de l’équipe rouge prêts à l’emploi tels que Cobalt Strike.
Le gang sous-traite le compromis et le déploiement à des spécialistes de la pénétration du réseau, qui renvoient ensuite le service client aux opérateurs principaux. L’équipe de Sophos pense que ces affiliés sont probablement des recrues qui fournissent le même service aux pairs de DarkSide. FireEye Mandiant a confirmé cela, affirmant que des affiliés avaient également été associés à Babuk et REvil.
«D’après l’expérience de Sophos en matière d’investigation des données et de réponse aux incidents liés aux attaques DarkSide, l’accès initial au réseau de la cible résultait principalement de hameçonnage des informations d’identification», a déclaré l’équipe Sophos. «Ce n’est pas la seule façon pour les attaquants de ransomware de prendre pied, mais cela semble être répandu dans les cas impliquant ce type de ransomware, peut-être en raison des préférences des affiliés.»
Mandiant a déclaré qu’il avait également vu l’exploitation de CVE-2021-20016, une vulnérabilité d’injection SQL dans le produit SonicWall SSLVPN SMA100 qui permet à un attaquant non authentifié d’effectuer des requêtes SQL pour accéder aux noms d’utilisateur, mots de passe et autres informations relatives à la session (si vous êtes un utilisateur de SonicWall, vous devriez avoir corrigé ceci maintenant).
Mandiant suit l’activité de DarkSide dans trois clusters différents de groupes différents – il les définit comme UNC2628, UNC2659 et UNC2465 – qui utilisent des méthodes différentes pour établir la persistance. Entre autres outils, UNC2628 favorise le framework Cobalt Strike et les charges utiles BEACON, utilise parfois Mimikatz pour le vol et l’exfiltration d’informations d’identification, et a même déployé le cadre de commande et de contrôle personnalisé de F-Secure. Pendant ce temps, UNC2659 utilise TeamViewer pour établir la persistance, et UNC2465, le plus ancien cluster d’activités lié à DarkSide, fournit la porte dérobée .NET basée sur PowerShell connue sous le nom de SMOKEDHAM.
Une fois établie, l’intelligence de Sophos a le temps de séjour du gang à une médiane de 45 jours, mais il a été connu pour rebondir jusqu’à 88 jours, période pendant laquelle elle vole autant de données que possible, ciblant souvent plusieurs départements à l’intérieur de la victime. organisation – la comptabilité et la recherche et développement (R&D) sont ici particulièrement privilégiées.
Le gang se déplace à l’intérieur du réseau victime en utilisant PSExec et des connexions de bureau à distance – SSH si sur un serveur Linux – et télécharge son trésor sur les fournisseurs de stockage cloud Mega ou pCloud. Les victimes sont extorquées en bitcoin ou en monero – Sophos note que le gang n’accepte pas le dogecoin préféré d’Elon Musk.
«Alors que certaines opérations de ransomwares ciblées récentes d’autres gangs ont vu le jour rapidement, lançant leur attaque en quelques jours, les acteurs derrière les campagnes DarkSide peuvent passer des semaines voire des mois à fouiller dans le réseau d’une organisation avant d’activer leur charge utile de ransomware», a déclaré l’équipe Sophos.
