Como funciona o ransomware DarkSide e quem está por trás dele

O DarkSide é uma ameaça de ransomware que está em operação desde, pelo menos, agosto de 2020 e foi usada em um ataque cibernético contra a Colonial Pipeline, com base na Geórgia, nos Estados Unidos, levando a uma grande interrupção no fornecimento de combustível ao longo da costa leste do país. O malware é oferecido como um serviço a diferentes cibercriminosos por meio de um programa de afiliados e, como outras ameaças de ransomware prolíficas, emprega extorsão dupla que combina criptografia de arquivo com roubo de dados e é implantado em redes comprometidas usando técnicas manuais de hacking.

Em um relatório recente, pesquisadores da empresa de inteligência de ameaças Flashpoint disseram acreditar “que os agentes de ameaças por trás do ransomware DarkSide são de origem russa e são provavelmente ex-afiliados do grupo REvil RaaS [ransomware-as-a-service]”.

Um grupo experiente de relações públicas que reivindica princípios morais

Os pesquisadores acreditam que os criadores do DarkSide inicialmente executaram sozinhos todas as suas campanhas de ataque direcionado, mas depois de alguns meses eles começaram a disponibilizar seu ransomware para outros grupos e a comercializá-lo em fóruns clandestinos de língua russa. Em seu anúncio de lançamento, eles afirmaram já ter lucrado milhões de dólares fazendo parceria com outros criptolockers (programas de ransomware) bem conhecidos no passado.

O grupo incentiva os relatores a se cadastrarem em seu site para receber informações antecipadas sobre violações e informações não públicas e promete respostas rápidas 24 horas por dia a quaisquer perguntas da mídia. Eles também convidaram empresas de descriptografia de dados para fazer parceria com eles para ajudar as vítimas que não têm grandes departamentos de TI a descriptografar seus dados após o pagamento.

O grupo também afirma que não ataca instalações médicas, empresas de pesquisa e distribuição de vacinas contra à Covid, serviços funerários, organizações sem fins lucrativos, instituições educacionais ou organizações governamentais por causa de seus “princípios”.

Após o ataque à Colonial Pipeline, o grupo emitiu um comunicado dizendo que, daqui para frente, analisará as vítimas que seus afiliados comprometeram e cujos dados pretendem criptografar:

“Somos apolíticos, não participamos da geopolítica, não precisam nos amarrar a um governo definido e buscar nossos outros motivos. Nosso objetivo é ganhar dinheiro, e não criar problemas para a sociedade. A partir de hoje introduzimos moderação e verificamos cada empresa que nossos parceiros desejam criptografar para evitar consequências sociais no futuro”. [sic]

Em outubro, o grupo também alegou que está doando uma parte dos fundos extorquidos para instituições de caridade e divulgou o comprovante de duas doações de US$ 10.000.

Com base nessas comunicações, fica claro que o grupo quer e sabe como chamar a atenção para si e suas atividades, provavelmente na tentativa de ganhar mais afiliados, mas os pesquisadores alertam que suas afirmações não foram comprovadas e, na verdade, são enganosas. Por exemplo, se for comprovado que as instituições de caridade receberam dinheiro obtido de atividades ilegais, esses fundos serão apreendidos ou devolvidos. Mesmo que o grupo afirme que não ataca instituições educacionais, ele atacou uma empresa que processava dados de escolas. Quando a empresa se recusou a pagar o resgate, os agressores enviaram e-mails às escolas afetadas para pressionar a organização vítima, avisando-os de que informações pessoais de crianças e funcionários da escola poderiam vazar.

As alegações sobre doações e não direcionamento a certos tipos de organizações não foram verificadas e “devem ser atendidas com um alto grau de escrutínio; esses operadores DarkSide estariam longe de ser os primeiros cibercriminosos a fazer tais alegações e não seguir adiante”, disseram os pesquisadores da Flashpoint, empresa especializada em Business Risk Intelligence (BRI).

Como o DarkSide compromete as redes

O DarkSide e suas afiliadas seguem o mesmo modelo de implantação de ransomware operado por humanos de outros grupos prolíficos de ransomware que atormentaram empresas nos últimos anos. Isso significa que os invasores obtêm acesso às redes por meio de uma variedade de métodos, incluindo credenciais roubadas seguidas por técnicas manuais de hacking e usando uma variedade de administração de sistema ou ferramentas de teste de penetração para realizar movimento lateral.

O objetivo é mapear a rede para identificar servidores críticos, escalar privilégios, obter credenciais administrativas de domínio, desabilitar e excluir backups, exfiltrar dados confidenciais e apenas quando o terreno estiver pronto, implantar o ransomware em tantos sistemas quanto possível de uma só vez. Essa abordagem cuidadosa e metódica é muito mais eficaz e difícil de se defender do que programas ransomware que se propagam automaticamente pelas redes usando rotinas integradas que podem falhar e desarmar mecanismos de detecção.

“Com relação às afiliadas do DarkSide, há sobreposição na forma como o ransomware foi entregue, incluindo afiliadas ganhando acesso à rede inicial explorando software vulnerável como Citrix, Remote Desktop Web (RDWeb) ou protocolo de desktop remoto (RDP), realizando movimento lateral e exfiltrando dados confidenciais antes de implantar o ransomware”, disseram os pesquisadores da empresa de segurança Intel471 em um relatório.

Cada afiliado do DarkSide poderia empregar táticas diferentes para ganhar uma posição inicial. Eles são semelhantes às técnicas usadas por outros grupos de ransomware: comprar credenciais roubadas de mercados clandestinos, realizar ataques de adivinhação de senha de força bruta ou de preenchimento de credenciais, comprar acesso a máquinas que já estão infectadas com malware de botnet, como Dridex, TrickBot ou Zloader, ou enviar e-mails com anexos maliciosos que implantam algum tipo de carregador leve de malware.

Um ator DarkSide observado pela Intel471 obteve credenciais de acesso inicial de um corretor de acesso à rede e então usou o serviço de compartilhamento de arquivos Mega.nz para exfiltrar dados, usou um backdoor do PowerShell para persistir na rede e implantou o malware de roubo de informações KPOT junto com o ransomware DarkSide. Outra afiliada recrutou abertamente “testadores de penetração” para usar VPNs e o acesso à rede já obtido para realizar movimento lateral e implantar o ransomware.

Ferramentas de terceiros e de código aberto comumente usadas para atividades de movimento lateral incluem scripts do PowerShell, as estruturas de teste de penetração Cobalt Strike e Metasploit, a ferramenta de despejo de senha Mimikatz e a ferramenta de visualização BloodHound que pode ajudar os invasores a descobrir caminhos de ataque obscuros e relações para explorar em ambientes Active Directory. Ferramentas que já fazem parte do Windows, como Certutil.exe e Bitsadmin.exe, também são abusadas.

Essa abordagem de viver fora da terra que inclui o uso de credenciais e ferramentas válidas que também são empregadas por administradores de sistema e defensores de rede torna esses ataques de ransomware operados por humanos difíceis de detectar sem o monitoramento avançado de rede.

Como funciona a rotina de ransomware DarkSide

O próprio ransomware DarkSide usa Salsa20 e RSA-1024 para criptografar os arquivos das vítimas e supostamente também tem uma versão Linux. Quando implantado no Windows, o malware verifica primeiro a configuração de idioma do sistema e, se for o idioma de um país localizado no antigo bloco soviético ou em sua esfera de influência, evita criptografar os dados. Isso é típico de malware criado por grupos baseados na região e que desejam evitar atrair a atenção das autoridades locais ao não atingir as organizações locais.

De acordo com pesquisadores da Cybereason, o malware interrompe os serviços que contêm os seguintes termos em seus nomes: vss, sql, svc, memtas, mepocs, sophos, veeam ou backup. Esses são processos relacionados a operações de backup, como o Windows Volume Shadow Copy Service (VSS) ou produtos de segurança. Em seguida, ele enumera os processos em execução e os encerra para que possa desbloquear os arquivos que eles estavam acessando para criptografá-los. Ele também usa um comando do PowerShell para excluir todas as cópias de sombra de volume já criadas e que podem ser usadas para restaurar arquivos.

O ransomware DarkSide cria um ID único para cada vítima e adiciona-o à extensão do arquivo para os arquivos criptografados. Os valores do resgate podem variar significativamente de algumas centenas de milhares de dólares a milhões, dependendo do que os invasores determinaram ser o tamanho da vítima e sua renda anual.

“Em março de 2021, o desenvolvedor lançou uma série de novos recursos em um esforço para atrair novas afiliadas”, disseram os pesquisadores da Intel471. “Isso incluía versões para direcionar os sistemas baseados em Microsoft Windows e Linux, configurações de criptografia aprimoradas, um recurso completo e integrado embutido diretamente no painel de gerenciamento que permitia às afiliadas organizar ligações destinadas a pressionar as vítimas a pagar resgates e uma maneira de lançar um ataque de negação de serviço (DDoS)”.