L’FBI ha confermato questa settimana che un Threat Actor relativamente nuovo che sviluppa ransomware noto come DarkSide è responsabile di un attacco che ha causato la chiusura di 5.550 miglia di oleodotto di Colonial Pipeline, bloccando innumerevoli barili di benzina, diesel e carburante per aerei sulla costa del Golfo.
Diverse società di cyber intelligence hanno affermato che l’attacco non era inteso a danneggiare l’infrastruttura nazionale ed era semplicemente associato ad attività estorsive tipiche di attacchi Ransomware e Double-Extortion.
Ciò sarebbe coerente con le precedenti attività di DarkSide, che includevano diversi attacchi di “Big Game Hunting“, in cui gli aggressori prendono di mira organizzazioni che possiedono i mezzi finanziari per pagare ingenti riscatti economici.
THREAT ACTOR:
DASKRSIDE
In risposta all’attenzione dell’opinione pubblica sull’attacco al Colonial Pipeline, il gruppo DarkSide ha cercato di minimizzare i timori sugli attacchi alle infrastrutture critiche in futuro:
“Siamo apolitici, non partecipiamo alla geopolitica, non abbiamo bisogno di legarci a un governo definito e cercare altre nostre motivazioni”, si legge in un aggiornamento al blog DarkSide Leaks. “Il nostro obiettivo è fare soldi e non creare problemi alla società. Da oggi introduciamo la moderazione e controlliamo ogni azienda che i nostri partner vogliono crittografare per evitare conseguenze sociali in futuro”.
Apparsa per la prima volta sui forum di hacking in lingua russa nell’agosto 2020, DarkSide è una piattaforma RaaS (Ransomware-as-a-Service) che gli affiliati possono affittare per infettare le aziende con ransomware ed eseguire negoziazioni e pagamenti con le vittime. DarkSide afferma che si rivolge solo alle grandi aziende e vieta agli affiliati di lanciare Ransomware su organizzazioni in diversi settori, tra cui sanità, servizi funebri, istruzione, settore pubblico e organizzazioni non profit.
Come altre piattaforme ransomware, DarkSide aderisce all’attuale pratica della doppia estorsione, che prevede la richiesta di somme separate sia per una chiave digitale necessaria per sbloccare file e server, sia per un riscatto in cambio della promessa di non divulgare i dati rubati dalla vittima.
Al suo lancio, DarkSide ha cercato di convincere gli affiliati dai programmi ransomware concorrenti pubblicizzando una maggiore fiducia e attendibilità rispetto ai competitor. Nella sezione “Perché sceglierci?” intestazione del thread del programma ransomware, l’amministratore risponde:
“Alto livello di fiducia dei nostri obiettivi. Ci pagano e sanno che riceveranno strumenti di decrittazione. Sanno anche che scarichiamo dati. Molti dati. Ecco perché la percentuale delle nostre vittime che pagano il riscatto è così alta e ci vuole così poco tempo per negoziare “.
Alla fine di marzo, DarkSide ha introdotto la funzione del “servizio di chiamata” che è stata integrata nel pannello di gestione dell’affiliato, e che ha permesso agli affiliati di organizzare chiamate che spingevano le vittime a pagare i riscatti direttamente dal pannello di gestione.
A metà aprile il programma ransomware ha annunciato una nuova feature per gli affiliati, la possibilità di lanciare attacchi DDoS (Distributed Denial-of-Service) contro gli obiettivi per esercitare una pressione aggiuntiva durante le negoziazioni di riscatto.
“Ora il nostro team e i nostri partner crittografano molte società che negoziano sul NASDAQ e altre borse“, spiega DarkSide. “Se la società si rifiuta di pagare, siamo pronti a fornire informazioni prima della pubblicazione, in modo che sia possibile guadagnare nel prezzo di riduzione delle azioni. Scrivici in “Contattaci” e ti forniremo informazioni dettagliate.”
DarkSide ha anche iniziato a reclutare nuovi affiliati il mese scorso, principalmente alla ricerca di penetration tester di rete che possano aiutare a trasformare un singolo computer compromesso in una violazione dei dati e in un incidente ransomware.
Porzioni di un messaggio di reclutamento di DarkSide, tradotto dal russo: “Siamo cresciuti in modo significativo in termini di base di clienti e rispetto ad altri progetti (a giudicare dall’analisi delle informazioni disponibili pubblicamente), quindi siamo pronti a far crescere il nostro team e un numero di nostri affiliati in due campi”, ha spiegato DarkSide.
L’annuncio continuava:
“Network Penetration Tester. Stiamo cercando una persona o una squadra. Ti adatteremo all’ambiente di lavoro e ti forniremo lavoro. Elevati tagli ai profitti, capacità di scegliere come target reti che non puoi gestire da solo. Nuova esperienza e reddito stabile.”