上周晚些时候,商业网络系统殖民地管道是美国东海岸最大的燃料供应商,但遭到了损害由于赎金软件攻击,迫使公司在调查正在进行调查时暂时关闭其运营。

美国联邦调查局,太平洋时间,星期一上午确认的勒索犯是阴暗面,一个相当新的压力,开始在2020年代末期大致粗略地制作名称。在这篇文章中,我们看一下恶意软件和犯罪团伙,谁相信在东欧,落后于殖民地管道攻击。

威胁性概况:暗边勒索软件

暗边是在2020年8月20日在野外观察,并由APT组碳蜘蛛使用,也称为Carbanak和Fin7等,为他们的大型游戏狩猎(BGH)竞选。根据Crowdstrike的说法对手简介就这一群体而言,它起源于俄罗斯联邦和/或乌克兰。自从2013活跃以来,碳蜘蛛就瞄准了中东、欧洲和最终美国的机构。

暗边勒索软件使用销售给附属公司勒索软件即服务(RAAS)分销模式,因此攻击由附属公司进行。

目前有两个已知的暗版本:Darkside V1.0和Darkside V2.1。后者在文件大小(53 kB与59.5 kB)方面的重量较小,并且具有更短的解密时间。

DarkSide 2.0首次论坛发布于2021年3月的截图(来源:Twitter用户)3xp0rt.)

v2.1有一个新的“呼吁我们”功能,它允许勒索沃特附属公司与受害者组织,合作伙伴甚至记者进行IP(VoIP)会话的声音。必威客服app据信他们添加了这一特征,以对他们的受害者施加额外的压力。

DarkSide还有一个Linux版本,能够针对VMWare ESXi漏洞,使虚拟机(VM)容易受到虚拟驱动器劫持和加密的影响。

像其他大型游戏狩猎赎金瓶家庭一样,暗区是人为操作的。这意味着在屏幕上成功渗透到目标网络之后的实际人员执行勒索软件。这使得威胁演员可以横向移动,在他们获得管理访问之前,将整个网络彻底循环回到几个系统。他们使用这些管理员凭据部署Darkside。

黑暗地带的运营商并不羞于向受害者索要200万美元。有时,他们甚至把价格提高了一倍。

他们还在网络中使用时间来收集数据并在加密受害者的副本之前上传到他们的服务器。

部署后,Darkside开始:

  • 使用Salsa20和RSA-1024的组合加密所有文件
  • 清空回收箱
  • 卸载服务
  • 删除卷影副本
  • 终止流程
  • 加密本地磁盘
  • 加密网络共享

在所有数据都被灭绝之后,威胁演员在泄漏网站上发布,暗泄漏,以及关于攻击的其他相关信息,例如公司名称,它被违反的日期,被盗了多少数据,盗窃数据的示例屏幕截图以及被盗数据的类型。

据观察,暗侧和瑞士赎金软件,也被称为所以迪诺基比,有一些相似之处:

  • 他们的赎金笔记似乎来自同一个模板。
  • 勒索软件系列都使用Windows PowerShell删除受妥协系统上的影子卷副本,
  • ......而两个家庭也使用特定的PowerShell代码来执行此操作。

Darkside确保受害者通过为受害者定制赎金券和文件扩展来感受到他们的个性化触摸。例如,当ransomware将只是使用自己的预定分组时,将受害者MAC地址的校验和用作加密文件的扩展名。(hellokitty ransomware使用。猫咪, 例如。)

下面复制了一段黑暗的赎金记录。赎金记录包括文件类型、受害者组织个人泄密页面的链接以及受害者可以做什么的说明。

-----------[欢迎来到黑暗面2.0]------------->发生了什么事?------------------------------------您的计算机和服务器已加密,备份已删除。我们使用强加密算法,因此您无法解密数据。但是你可以通过从美国购买一个特殊的程序——环球解密程序来恢复一切。此程序将恢复您的所有网络。按照下面的说明操作,您将恢复所有数据。数据泄漏------------------------------------------首先,我们上传了超过完整转储数据。这些文件包括:-财务-私人信息-合作伙伴文件必威客服app

《黑暗面泄密》网站有一个“新闻中心”部分,记者可以在这里注册。它有一个部分,在那里“恢复公司”——除了屈服于黑暗势力的赎金要求之外别无选择的受害组织——可以注册接收解密者,获得额外的“折扣”,并有一条通往威胁参与者支持服务的线路。所有这些都说明了黑边操作符是如何组织的。

必威平台APP马尔瓦雷比签名保护检测所有已知的阴暗面.

对手简介:暗边运营商

德拉戈斯DFIR的莱斯利·卡哈特(Leslie Carhart)注意到,黑暗区的运营商一直在增加他们的双重勒索攻击,但不知何故成功地很少受到关注。

Darkside Ransomware背后的威胁演员正在完成所有这些。然而,其原创创造者宣布希望通过其RAAS计划与他们合作的犯罪集团应避免在某些部门的目标。这些是:

  • 卫生保健
  • 教育
  • 非营利组织
  • 政府

Darkside似乎可能是您的共同或花园赎金瓶帮派,只关心赚钱,包括医院,但他们希望你另行思考。将黑暗团伙与另一个“无情”帮派分开的事情之一是他们宣称“让世界变得更美好“。

2020年,该团伙将他们从受害者那里勒索的一部分钱捐给慈善机构,却没有意识到慈善机构知道这些钱是欺诈性的,永远不会接受。不仅如此,慈善机构在不知情的情况下接受欺诈资金可能会从法律上遇到很多麻烦. 他们可能会被指控与洗钱有关的罪行——这也许是黑帮在什么时候没有预见到的想想孩子们.

与许多其他赎金瓶帮派共同,它也是他们在包括独立国家(CIS)的联盟下的国家的任务,包括格鲁吉亚和乌克兰。

虽然他们到达这种可疑的道德高地,让我们不要忘记深黑边的威胁演员,不仅威胁受害者组织泄漏所有文件,还有武器化通过将它们分享给竞争对手、媒体和政府监管机构来实现。

在殖民地管道袭击之后,攻击头条新闻并引起了不低于联邦调查局和美国政府的关注,暗区发布了关于它的陈述:

我们是非政治性的,我们不参加地缘政治,不需要将我们与一项规定的政府联系起来,寻找其他我们的动机。

我们的目标是赚钱,而不是为社会创造问题。

从今天开始,我们介绍了他们的合作伙伴希望加密的每家公司,以避免将来的社会后果。必威客服app

许多人怀疑,黑暗区的运营商已经在疯狂地抢修,因为他们已经咬了太多东西。

打破了骆驼背部的稻草?

对殖民地管道的黑暗攻击可能会成为打破骆驼背部的稻草。上周,白宫举行了紧急会议,看看已经起草的行政命令关于网络安全 - 可能会在这种最新攻击之后加强它 - 预计将很快发布。在此之前,美国司法部已经宣布了一个120天审查其应对网络威胁的方法,并被勒索软件工作组的对付勒索软件的策略计划将赎金软件视为国家安全威胁。

昨天,联邦调查局和美国网络安全和基础设施安全局(CISA)发布了一个联合网络安全咨询(CSA)对付黑暗的勒索软件。它包含了详细的缓解步骤,业务部门应遵循这些步骤来降低成功勒索软件攻击的总体风险。这些步骤包括简单的步骤,例如:

所有部门的组织都应考虑这些最佳实践。因为在本文的出版物之前,Darkside似乎已经净化了另一个受害者.