DarkSide (grupa hakerów)

DarkSide to prawdopodobnie wschodnioeuropejska grupa crackerów, którzy specjalizują się w oprogramowaniu ransomware, a także oferują to „ jako usługę ” (tzw. RaaS). Grupa specjalizuje się przede wszystkim w ofiarach silnych finansowo i indywidualizuje ich ataki, co oznacza, że ​​kod jest dostosowany do ofiary. Według własnych informacji grupa nie atakuje infrastruktury krytycznej, takiej jak szpitale .

Metody

Grupa próbowała na TOR , infiltracji Windows - Komputer . Zapewnione jest, że nie są używane żadne węzły z funkcją Endpoint Detection & Response . Po okresie oczekiwania próbuje się zamaskować się w systemie, przede wszystkim pliki dziennika są usuwane, aby nie zostały wykryte (a przynajmniej dopiero późno) w późniejszej analizie kryminalistycznej. Informacje dostępowe są następnie szpiegowane. Dodatkowe komputery są infekowane przez udostępnianie plików . Tworzone są archiwa plików . W przypadku ofiar zmieniane są uprawnienia do plików, dzięki czemu więcej użytkowników otrzymuje uprawnienia do odczytu i zapisu . Następnym krokiem jest usunięcie kopii zapasowych danych . Nawet kopie w tle są usuwane. Na koniec wybrane pliki są szyfrowane w celu wymuszenia okupu.

Grupa utworzyła również wyciekający serwer w Iranie, aby uzyskać informacje o tym, jak agencje rządowe lub inne grupy crackerów próbują zaszkodzić DarkSide.

Ataki

Grupa rozpoczęła działalność około sierpnia 2020 r. Ich najbardziej znaną ofiarą był do tej pory Colonial Pipeline w USA. Operator rurociągu wyłączył swój system informatyczny po ataku, co spowodowało, że w maju 2021 roku nie mógł dostarczać produktów naftowych na wschodnie wybrzeże . Operator ma na okup około 4,4 dolara . Pytanie jest FBI udało się w ciągu miesiąca, klucz prywatny tematyce Portfele zawładnąć Darkside. Tak więc 63,7 bitcoinów , czyli równowartość 2,26 miliona dolarów, można by odzyskać. Co więcej, na początku czerwca okazało się, że zhakowany dostęp VPN został wykorzystany do włamania się do Colonial Pipeline. Specjalista ds. bezpieczeństwa IT stwierdził, że to konto VPN nie ma uwierzytelniania dwuskładnikowego, a hasło jest niepewne. To hasło pojawiło się później w Darknet .

Po ataku na Colonial Pipeline z DarkSide powiązano również inne ataki na systemy informatyczne. Zaatakowano irlandzką służbę zdrowia , co wykazywało podobieństwa do ataku na rurociąg kolonialny. Udostępnił także Toshiba TEC France Imaging Systems SA , francuską spółkę zależną japońskiej firmy Toshiba , z tą Darkside, którą zaatakowali na początku maja, ale wyciekła tylko niewielka ilość danych.

Indywidualne dowody

  1. a b Snir Ben Shimol: Powrót ciemnej strony: analiza kampanii kradzieży danych na dużą skalę. 10 maja 2021, udostępniono 13 maja 2021 .
  2. Oprogramowanie ransomware DarkSide. Złośliwe oprogramowanie dla przedsiębiorstw z linkami do GandCrab i Sodinokibi. Źródło 13 maja 2021 .
  3. Colonial Pipeline wznawia działanie po cyberataku. Według operatora, ponowne normalne działanie systemu potrwa jeszcze kilka dni. Tymczasem tysiącom stacji benzynowych we wschodnich Stanach Zjednoczonych kończy się benzyna. W: Zeit Online. Zeit Online GmbH, 13 maja 2021, dostęp 13 maja 2021 .
  4. FBI sprowadza 2 miliony z gangu Ramsonware Darkside. W: Inside IT. 8 czerwca 2021, udostępniono 8 czerwca 2021 .
  5. Irlandzka służba zdrowia wyłącza systemy informatyczne. Po ataku na amerykański rurociąg gazowy grupa hakerów DarkSide najwyraźniej uderzyła ponownie. Podobne trojany szantażujące były wykorzystywane w atakach na irlandzki system opieki zdrowotnej i firmę Toshiba. 14 maja 2021, udostępniono 8 czerwca 2021 .
  6. Toshiba w Europie celem ataku hakerskiego. Według firmy, Toshiba Tec została zhakowana na początku maja przez grupę, która może również stać za atakiem na rurociąg w Stanach Zjednoczonych. Źródło 8 czerwca 2021 .