E' stata individuata una nuova famiglia di ransomware, chiamata DarkSide: come ogni ransomware "che si rispetti", quelli del calibro di Conti, Ryuk e Maze per capirsi, è pensato per eseguire attacchi mirati contro le aziende e richiedere poi riscatti milionari.
Le operazioni di diffusione sono iniziate attorno al 10 Agosto 2020 e sono state annunciate a "mezzo stampa": il gruppo di cyber attaccanti ha infatti pubblicato, pochi giorni prima dell'avvio delle operazioni, un comunicato stampa nel quale gli autori si affermano di essere esperti di operazioni ransomware, avendo già "lavorato" nel settore con proventi milionari. Non trovando però un RaaS che soddisfacesse appieno le loro esigenze, gli attaccanti hanno optato per sviluppare in proprio la nuova arma: nasce così DarkSide. Nel comunicato viene anche puntualizzato che DarkSide colpirà solo ed esclusivamente le aziende, confermando che i tempi degli attacchi ransomware di massa sparati nel mucchio degli utenti finali sono davvero agli sgoccioli.
Fonte: https://www.bleepingcomputer.com/ |
In dettaglio, DarkSide colpirà il settore sanitario (hospice, ospedali, ambulatori ecc...), quello dell'istruzione (scuole e università), organizzazioni no profit e il settore statale e governativo. Stando a quanto ricostruito dalla redazione di BleepingComputer, i riscatti fin ora richiesti oscillano tra i 200.000 e i 2.000.000 di dollari USA: sotto sono visibili due richieste di riscatto
Fonte: https://www.bleepingcomputer.com/ |
DarkSide ruba i dati prima di criptarli
Esattamente come per gli altri attacchi ransomware condotti direttamente dagli attaccanti, una volta che gli operatori di DarskSide riescono ad irrompere nella rete aziendale, si diffondono lateralmente lungo la rete fino ad ottenere l'accesso all'account amministratore e al Windows domain controller. Ed è proprio durante la diffusione laterale che gli attaccanti iniziano la raccolta di quanti più dati possibili in chiaro, inviando tutte queste informazioni ai proprio server remoti. Questi dati rubati vengono poi pubblicati in un sito di leak appositamente costruito come parte integrante del tentativo di estorsione. I dati vengono pubblicati indicando chiaramente il nome dell'azienda, la data in cui è avvenuto il breach, quanti dati sono stati rubati e il tipo: il tutto accompagnato da screenshot dei dati a guisa di prova.
Ovviamente, minaccia il gruppo, se un'azienda decidesse di non pagare il riscatto vedrebbe pubblicati tutti i dati sui quali gli attaccanti hanno messo le mani. Le aziende che, per adesso, hanno pagato il riscatto, hanno visto la rimozione di tutti i dati sia dal sito di leak che, in generale, dal web.
L'attacco è mirato
Per organizzare un attacco, gli operatori di DarkSide approntano un eseguibile personalizzato del ransomware, che tiene di conto delle caratteristiche specifiche del futuro target. Una volta eseguito, il ransomware esegue alcuni comandi PowerShell per cancellare le Shadow Volume Vopies dal sistema e impedire la possibilità di ripristino dei file. Subito dopo procede a terminare alcuni database, le applicazioni Office e i client email per preparare la macchina alla criptazione. Tra i processi che vengono terminati troviamo
- vmcompute.exe
- vmms.exe
- vmwp.exe
- svchost.exe
- TeamViewer.exe
- explorer.exe
L'algoritmo di criptazione prevede l'uso di una chiave SALSA20 per criptare i file: questa chiave viene poi criptata con una chiave pubblica RSA-1024 inclusa nell'eseguibile del ransomware. L'estensione di criptazione varia da utente a utente, dato che usa l'indirizzo MAC della vittima.
Fonte: https://twitter.com/VK_Intel |
La nota di riscatto si chiama "Welcome to Dark" e include il numero dei file criptati, il tipo di dati, il link al sito di leak.
Fonte: https://twitter.com/VK_Intel |
Dopo le prime analisi, l'algoritmo di criptazione è risultato piuttosto solido e non vi sono, per adesso, possibilità di recupero dei file senza pagare il riscatto, a meno che l'azienda vittima non disponga dei backup.
Nessun commento:
Posta un commento