01

DarkSide团伙背景

DarkSide是一支新兴的RaaS（勒索即服务）犯罪团伙，该团伙有可能是由其他勒索软件活动的前分支机构所组织发起的，依据该团伙之前公布的攻击规则声明，该团伙只会针对除医疗、政府、教育、非盈利组织和殡葬行业外的组织机构发起勒索攻击。根据360官网发布的《2021年1月勒索病毒流行态势分析》介绍，该勒索病毒家族最早出现于2020年8月，截至目前为止被公开的有81个企业遭遇该勒索病毒家族的攻击。

相关受害企业信息

02

相关重要攻击活动

2021年4月20日，DarkSide团伙在其暗网网站发布公告，称其入侵了许多纳斯达克和其他证券交易所上市公司，并加密了相关公司的核心数据，如果相关公司拒绝支付赎金，该团伙准备公布窃取的数据信息，在相关公司的股票卖空期权中获利。

DarkSide勒索通知

2021年5月7日，美国最大燃油管道商Colonial Pipeline遭遇DarkSide团伙的定向攻击，迫使其关闭了向人口稠密的美国东部各州供油的关键燃油网络。

Colonial Pipeline公司紧急通告

03

攻击活动技术特点

根据DarkSide团伙的历史攻击数据分析，该团伙的攻击特点有别于其他勒索团伙，在针对相关组织机构释放安装勒索病毒攻击前会先窃取大量的数据，其在伊朗还创建了一个分布式存储系统用于存储受害者数据。

DarkSide团伙关于存储系统的公告

   Darkside团伙主要攻击特点：

• 勒索病毒主要针对Windows系统，但是也存在针对Linux系统的变种

• 使用大量渗透测试工具针对相关组织机构的外部网络系统实施漏洞扫描和入侵渗透

• 进入相关组织机构的内网后会定向攻击Windows域控制器，企图控制整个企业内网

• 窃取组织机构的核心数据会上传至私有的云分布式存储系统

• 控制组织机构的核心资产后，最终实施安装勒索病毒攻击

Darkside的勒索通知专门针对企业定制，会专门针对企业的会计数据、执行数据、销售数据、客户支持数据、营销数据等核心价值数据进行窃取和勒索攻击、

04

核心勒索病毒分析

DarkSide勒索病毒在初启动时会检查检查当前用户是否为管理员：

开始运行后，会像AppDataLocal目录下释放一个图标，作为被加密文件的图标。同时，图标的文件名也是勒索病毒加密文件后添加的文件后缀（每个样本不同，当前样本为“.82a71c82”）

病毒会将注入当前用户名、计算机名等信息加密后发送至C2务器。测试时URL为：

hxxp://securebestapp20.com/mhzPjMHjEl

调用系统powershell执行命令：

powershell -ep bypass -c ""(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*$_,2))};iex $s""

解开字符串后实际命令为删除Windows系统卷影的操作：

Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

在准备工作完成后，病毒启动两个线程循环加密文件。

勒索病毒采用Salsa20算法加密受害人数据，再使用RSA-1024算法对Salsa20的密钥进行加密并放于文件末尾。

最终，病毒会修改修改用户桌面背景，并留下勒索信息要求受害人主动联系自己交付赎金。

05

团伙关联溯源分析

DarkSide团伙成员曾在知名俄语系论坛发布DarkSide相关勒索软件信息。

勒索病毒会判断系统默认的语言，如果为俄语系语言则不加密系统文件

综合技术特征和历史活动判断，该团伙是一支典型的RaaS（勒索即服务）犯罪团伙， 疑似存在大量俄语系人员。

总结

《2020年全球高级持续性威胁（APT)研究报告》中对2021年攻击趋势预测中，我们认为意图为破坏、窃密的针对性勒索攻击将不断出现。去年针对性定向勒索攻击大幅上升，针对英特尔、富士康、巴西航空工业公司、日本汽车制造商本田等大型企业的勒索攻击就有二十多起。这些被勒索的企业都造成了不同程度的机密数据泄露、业务中断等重大影响。针对这些攻击我们很难确定攻击者实际目的，但确定的是攻击给用户造成了严重的影响。勒索攻击和APT攻击之间的交集逐渐增多，勒索攻击更像是一场精心策划的APT攻击中的烟雾弹，将其真实攻击意图掩盖。

针对企业用户的安全建议

Advices to Enterprise Customers

01

发现遭受勒索病毒攻击后的处理流程

1. 发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播，关闭计算机能及时阻止勒索病毒继续加密文件;

2. 联系安全厂商，对内部网络进行排查处理;

3. 公司内部所有机器口令均应更换，你无法确定黑客掌握了内部多少机器的口令。

02

遭受勒索病毒攻击后的防护措施

1. 联系安全厂商，对内部网络进行排查处理;

2. 登录口令要有足够的长度和复杂性，并定期更换登录口令;

3. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份;

4. 定期检测系统和软件中的安全漏洞，及时打上补丁;

5. 登录口令要有足够的长度和复杂性，并定期更换登录口令;

6. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份;

7. 定期检测系统和软件中的安全漏洞，及时打上补丁。

如需针对DarkSide团伙的定向勒索攻击进行排查并获取专杀工具，请联系360高级威胁研究院：

联系邮箱

[email protected]

附录 IOC

MD5：

01cef4d4f9306177d42f221854ee552b

0e178c4808213ce50c2540468ce409d3

0ed51a595631e9b4d60896ab5573332f

3fd9b0117a0e79191859630148dcdc6d

47a4420ad26f60bb6bba5645326fa963

4d419dc50e3e4824c096f298e0fa885a

5ff75d33080bb97a8e6b54875c221777

66ddb290df3d510a6001365c3a694de2

6a7fdab1c7f6c5a5482749be5c4bf1a4

885fc8fb590b899c1db7b42fe83dddc3

91e2807955c5004f13006ff795cb803c

9d418ecc0f3bf45029263b0944236884

9e779da82d86bcd4cc43ab29f929f73f

c2764be55336f83a59aa0f63a0b36732

c363e327287081251b820276cd9ce1f8

d6634959e4f9b42dfc02b270324fa6d9

e44450150e8683a0addd5c686cd4d202

f75ba194742c978239da2892061ba1b4

f9fc1a1a95d5723c140c2a8effc93722

04fde4340cc79cd9e61340d4c1e8ddfb

68ada5f6aa8e3c3969061e905ceb204c

69ec3d1368adbe75f3766fc88bc64afc

c830512579b0e08f40bc1791fc10c582

c4f1a1b73e4af0fbb63af8ee89a5a7fe

29bcd459f5ddeeefad26fc098304e786

f87a2e1c3d148a67eaeb696b1ab69133

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

本文始发于微信公众号（360威胁情报中心）：DarkSide针对美国关键基础设施的定向勒索分析研判报告