Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Що відомо про програму-вимагача DarkSide

Що відомо про програму-вимагача DarkSide

Останнім часом ведеться значний обсяг роботи, спрямований на боротьбу з програмою-вимагачем DarkSide. Нагадаємо, 7 травня було здійснено хакерську атаку на один з найбільших трубопроводів в США Colonial Pipeline, що призвело до тимчасового відключення трубопроводу.

У технічних описах детально пояснюється як DarkSide управляє партнерською моделлю, яка включає інші бізнес-системи програм-вимагачів (крім розробників). Ймовірно, це не нове явище, модель використовують більшість груп, тому що це ефективно.

darkside.jpg

Зараз багато уваги приділяється DarkSide, але не варто забувати і про інші віруси-здирники REVIL, Cuba, Babuk, Ryuk. Ці та подібні групи використовують загальні алгоритми атаки, і ці інструменти в більшості випадках ідентичні.
У цьому матеріалі розглянемо більш детально про програму DarkSide.

Шифрувальник-вимагач DarkSide: що це і як працює?

DarkSide - це програма-вимагач, що використовує послугу RaaS, в основі якої - виплата стороннім здирникам ("партнерам") високого прибутку в обмін на доступ до мереж. Програма інвестує в розробку коду, партнерів та нових функцій. Вимагач працює не тільки з метою загрози витоку даних, він може вести переговори з компаніями з відновлення, взаємодіяти зі ЗМІ, і проводити розподілені атаки DDoS. Механізм роботи злому наступний - фірми, так звані "партнери", яким вимагач платить викуп, отримують повідомлення від DarkSide про організації, що потерпіли атаку. А "партнери", в свою чергу використовують напрацювання DarkSide в обмін на оплату. 15 травня компанія DarkSide оголосила про розформування, але експерти припускають, що зловмисники можуть з'явитися під новим ім'ям.

Інструмент збору відомостей про погрози MVISION Insights дозволяє визначити зону активності вірусу. Карта показує, що головна географічна точка це - США. У розрізі галузей основними атакуючими мішенями є юридичні послуги, оптова торгівля, виробництво, нафтогазова і хімічна сфера.

Які методи слід вжити для захисту від DarkSide?

McAfee використовує флагманське на ринку рішення EPP. З його допомогою програми-вимагачі виявляються методом раннього запобігання та виявлення.
Інструмент MVISION Insights дасть можливість зібрати дані про погрози, враховуючи аналіз подій в конкретній сфері, регіоні. Платформа оновлюється по мірі появи нової та актуальної інформації.
MVISION EDR включає в себе виявлення багатьох типів поведінки, які використовуються в атаці, включаючи фреймворки для тестування від атак зловмисників PowerShell і CobaltStrike. Ще одна можливість MVISION EDR - доступна видимість команд виявлення, управління, контролю та інших тактик в ланцюжку атаки.
Телеметрія EDR вказує на раннє виявлення до настання найбільшої активності вимагача.

ENS TP забезпечує покриття по відомим індикаторами в останньому наборі сигнатур. Оновлення за новими індикаторами реалізовується через GTI.
ENS ATP надає поведінковий контент, орієнтований на попереджувальні заходи по виявленню загрози. ENS надає відомі IoC для виявлення як в режимі онлайн, так і в автономному режимі.
ENS ATP додає два додаткових рівня захисту. Завдяки правилам JTI, які забезпечують скорочення поверхні атаки для загального поведінки програм-вимагачів і RealProtect (статичний і динамічний) з моделями машинного навчання, націленими на загрози програм-вимагачів.

Технічний аналіз

Платформа RaaS пропонує партнеру можливість створити версію програми-здирника для Windows або Unix. Залежно від того, що необхідно, можна помітити, що афілійовані особи використовують різні методи для обходу виявлення, маскуючи згенеровані виконавчі файли Windows DarkSide. Для цього можна використовувати кілька пакувальників або підтвердити бінарний файл сертифікатом.

Команда хакерів можуть використовувати кілька способів для отримання початкового доступу до мережі своєї жертви.
Основні профілактичні заходи для проведення технічного аналізу:
Використовуючи дійсні облікові записи, виявляйте уразливості на серверах або RDP на початковому етапі
Потім встановіть відправний пункт в мережі жертви за допомогою таких інструментів, як Cobalt-Strike (маяки), RealVNC, RDP, перенесений через TOR, Putty, AnyDesk і TeamViewer. TeamViewer - це те, що ми також бачимо в конфігурації зразка вимагача:

process-to-unique.jpg


Конфігурація програми-здирника містить кілька параметрів для включення або відключення системних процесів, а також зазначену вище частину, в якій зазначено, які процеси не слід усувати.
Як згадувалося раніше, багато поточних зразків Windows - це версія DarkSide 1.8, інші - версія 2.1.2.3. Є інформація, що скоро вийде версія V3.

У березні 2021, на XSS, хакери оголосили оновлення DarkSide як версії PowerShell так і оновлення основного варіанту Linux.
Після того, як була створена міцна опора, використовуються кілька інструментів, щоб отримати більше переваг.
Спостережувані інструменти:

  • Mimikatz

  • Скидання LSASS

  • Дампер паролів IE / FireFox

  • Інструмент живлення64

  • Імперія

  • Обхід UAC

Після отримання достатньої кількості переваг, складається карта мережі, і визначаються найбільш важливі системи, такі як сервери, сховище і інші активи. Було відмічено, що в кількох випадках використовувалися наступні інструменти:

  • BloodHound

  • ADFind

  • ADRecon

  • Інструменти сканування IP

  • Кілька власних інструментів Windows

  • Сценарії PowerShell

Перед поширенням злодія на мережі за допомогою таких інструментів, як PsExec і PowerShell, дані були відправлені в хмарні служби, які пізніше будуть використовуватися на сторінці DarkSide Leak з метою вимагання. Архівування даних з використанням Rclone або WinSCP - ось деякі з спостережуваних прикладів.
Незважаючи на те, що існує багато глибоких аналізів, варто відзначити одну річ: при запуску DarkSide процес шифрування виконується швидко. Це одна з областей, якими хакери хизуються на одному форумі і проводять порівняння, щоб переконати афілійованих осіб приєднатися до їх програми.

DarkSide, як і програма-вимагач Babuk, має версію для Linux. Обидві націлені на системи * nix, але, зокрема, на сервери VMWare ESXi і сховище / NAS.
Darkside випустив схему в системі Linux , яка підтримує шифрування серверів ESXI версій 5.0-7.1, а також технологію NAS від Synology. Вони заявляють, що скоро будуть підтримуватися інші технології NAS / резервного копіювання. У коді ми чітко спостерігаємо цю підтримку:

підтримка-кода.jpg

висновок

Робоча група по програмам-здирникам створила партнерство, в якому McAfee пишається своєю участю, випустила докладну інструкцію про те, як відбуваються атаки програм-вимагачів і які слід вживати контрзаходи.