駭客犯罪組織 DarkSide 由於策劃了美國最大燃油管道 ─ 殖民管道(Colonial Pipeline)的攻擊事件引起大家關注。本文將說明這些威脅行動者已知的一切與運作方式。
文/Lucian Constantin‧譯/Nica
至少從 2020 年八月起就開始營運,並用於針對喬治亞州的 Colonial Pipeline 發動網路攻擊的 DarkSide 勒索軟體威脅,導致美國東海岸沿岸重大燃油供應中斷。這套惡意軟體以服務的方式,透過聯盟行銷手法,提供給各個網路犯罪組織,而且就像其他多產勒索軟體威脅一樣,利用雙重敲詐手法:結合將竊得的資料進行檔案加密,再以手動攻擊技術佈署在已遭感染的網路上。
在一份近期報告中,威脅情報單位 Flashpoint 研究人員表示,他們相信「DarkSide 勒索軟體背後的威脅行動者來自俄羅斯,且很可能隸屬於先前 REvil RaaS(勒索軟體即服務)集團分支機構。」
宣稱主張道德原則的公關高手
研究人員深信,DarkSide 創造者最初是自行針對鎖定的目標發動攻擊,但數個月後,開始將他們的勒索軟體提供給其他集團,並在俄語地下論壇行銷。在發佈的聲明中,他們宣稱透過與其他過去相當知名的 cryptolockers(勒索軟體程式)合作,已獲利數佰萬美元。
該集團鼓勵新聞從業者登錄他們的網站,獲取外洩事件相關的進一步資訊與未公開訊息,並承諾在 24 小時內回覆所有媒體提問。他們還邀請資料加密公司與之合作,協助沒有大型 IT 部門可處理的受害者在付款後解密他們的資料。
該集團也宣稱,基於「原則」,他們不攻擊醫療機構、COVID 疫苗研究與分發組織、殯葬服務、非營利組織、教育機構或政府組織。
在 Colonial Pipeline 攻擊過後,該集團發表聲明宣稱下一步將檢視其聯盟攻擊過的受害者與打算加密資料的對象:
「我們非關政治、不參與地緣政治,不必將我們與所謂的政治聯想在一起,或探尋我們是否有其他動機。我們的目標是賺錢,不是要製造社會問題。從現在開始,我們採取和緩模式,並檢視合作夥伴想加密的每間公司,避免未來造成社會衝擊。」
去年十月,該集團還宣稱捐出部份勒贖基金給慈善機關,並貼出兩筆一萬元美金捐獻的證明。
就這些言論來看,它清楚表明該集團想要也知道如何讓自已本身與從事的活動吸引大家的目光,很可能是想爭取到更多會員,但研究人員警告,他們的聲明未經證實而且事實上是謊言。例如,若證明慈善機構收到來自非法活動的金錢,這些基金會被充公或退還。甚至該集團表明不攻擊教育單位,但它就曾攻擊過處理學校資料的某間公司。當該公司拒絕支付贖金,歹徒便發出電子郵件給受影響的學校,對受害組織施加壓力,警告他們孩童與學校雇員的個人資訊可能外洩。
Flashpoint 研究人員表示,這些關於捐獻與不鎖定某些型態企業組織的聲明未經證實,而且「應該高規格檢視,這些 DarkSide 營運者已脫離首度發表這類聲明的網路罪犯很遠, 並且不再跟進。」
DarkSide 如何感染網路
DarkSide 與會員們,採用的是近幾年持續困擾企業組織,與其他多產勒索軟體集團相同的勒索軟體人為操控模式。意即,攻擊者透過各種方式取得網路存取權,包括透過手動駭客技巧竊得的憑證,以及利用各種系統管理或滲透測試工具執行橫向移動。
目的是為了比對網路,確認關鍵伺服器、提升特權等級、獲得網域管理憑證、停用並刪除備份、提取機敏性資料,且只有在情勢一切準備就緒,才一氣呵成將勒索軟體佈署在儘可能多的系統上。這種謹慎與方法論的處理方式,遠比使用可能失效且容易被偵測機制抓到的內建常規程式,透過網路自動繁殖的那種勒索軟體程式,更有效率得多且更難以防禦。
「就 DarkSide 的會員來說,重疊的部份就是勒索軟體遞送方式,包括會員利用 Citrix、Remote Desktop Web(RDWeb)或遠端桌面通訊協定(RDP)這類有弱點的軟體取得初始網路存取權,執行平行移動,並在最後佈署勒索軟體前提取機敏性資料。」資安公司 Intel471 研究人員於報告中如此表示。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
每個DarkSide 會員皆可採取不同戰術取得初始立足點。這與許多其他勒索軟體集團採用的技巧雷同:自黑市購買竊得憑證、執行暴力測試猜密碼或憑證填充攻擊、購買已遭 Dridex、TrickBot 或 Zloader 這類殭屍網路惡意軟體感染的機器存取權,或是傳送帶有佈署相對輕量級惡意軟體載體的惡意附加檔案電子郵件。
Intel471 所觀察到的一名 DarkSide 歹徒,是從網路存取掮客取得一開始的存取憑證,接著利用 Mega.nz 網路共享服務提取資料,利用 PowerShell 後門持續留存在網路裡,佈署 DarkSide 勒索軟體隨附的 KPOT 情報竊取惡意軟體。另一個會員則是公開徵求「滲透測試者」,利用 VPN 與已取得的網路存取權執行平行移動,佈署勒索軟體。
常被利用來進行平行移動的第三方與開放源碼工具,則有 PowerShell scripts、Cobalt Strike 與 Metasploit 滲透測試框架、Minikatz 密碼破解工具,以及可以在 Active Directory 環境下使用,幫助攻擊者發現難以覺察的攻擊路徑與關聯的 BloodHound 虛擬化工具程式。Windows 現有的部份工具,像是 Certutil.exe 與 Bitsadmin.exe 也被拿來不當利用。
這種離地攻擊(living-off-the-land)手法,內容含括合法憑證與工具的利用,系統管理者及網路防禦人員也會採用這種做法,使得這類人為操控的勒索軟體攻擊,若沒有高階網路監控難以發現。
DarkSide 勒索軟體例行程式運作方式
DarkSide 勒索軟體本身利用 Salsa20 與 RSA-1024 加密受害者檔案,據聞也有 Linux 版本。佈署於 Windows 下時,該惡意軟體會先檢查系統語系設定,若其國家語系位於前蘇聯集團或其勢力範圍內,軟體就不會對資料加密。這是以國家為基礎所建立的集團,與藉由不打擊當地業者避免吸引當局執法機構關注的惡意軟體傳統做法。
Crybereason 研究人員指出,惡意軟體接著會停用帶有這些名稱的服務:vss、sql、svc、memtas、mepocs、sophos、veeam 或 backup。這些都是與備份操作相關的程序,像是 Windows Volume Shadow Copy Service(VSS)或資安產品。接著便是列舉執行中程序並中斷它們,如此一來便能解鎖想要存取進行加密的那些檔案。這也會使用到 PowerShell 命令,刪除已建立可用來回復檔案的所有磁碟區陰影(volume shadow)複本。
DarkSide 勒索軟體為所有受害者建立獨有 ID,將 ID 加在後面成為已加密檔的副檔名。勒贖金額差異極大,從數十萬到數百萬美元都有,端視攻擊者認定的受害者規模與年收入而定。
「2021 年三月,開發人員展開一連串新功能,卯足全力吸引新會員。」Intel471 研究人員如此表示。「這些新功能含括瞄準 Microsoft Windows 與以 Linux 為基礎的系統的版本、強化加密設定、直接內建到管理面板全面性整合功能,能讓會員安排對受害者施加壓力促使支付贖金的電話,以及提供啟動分散式阻斷服務(DDoS)攻擊的方式。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)