DarkSide: Cómo funciona y quién está detrás de él

0
81

DarkSide es una amenaza de ransomware que ha estado en funcionamiento desde al menos agosto del 2020 y se utilizó en un ciberataque contra Colonial Pipeline, con sede en Georgia, lo que provocó una importante interrupción del suministro de combustible a lo largo de la costa este de los Estados Unidos. El malware se ofrece como un servicio a diferentes ciberdelincuentes a través de un programa de afiliados y, al igual que otras prolíficas amenazas de ransomware, emplea una doble extorsión que combina el cifrado de archivos con el robo de datos, y se despliega en redes comprometidas utilizando técnicas de hacking manual.

En un informe reciente, los investigadores de la firma de inteligencia de amenazas Flashpoint dijeron que creen «que los actores de la amenaza detrás del ransomware DarkSide son de origen ruso y probablemente son antiguos afiliados del grupo REvil RaaS [ransomware-as-a-service].»

Un grupo experto en relaciones públicas que reivindica principios morales
Los investigadores creen que los creadores de DarkSide dirigieron inicialmente todas sus campañas de ataques dirigidos, pero después de unos meses empezaron a poner su ransomware a disposición de otros grupos y lo comercializaron en foros clandestinos en ruso. En su anuncio de lanzamiento afirmaban haber obtenido ya millones de dólares en beneficios al asociarse con otros conocidos criptolockers (programas de ransomware) en el pasado.

El grupo anima a los reporteros a registrarse en su sitio web para recibir información anticipada sobre infracciones e información no pública, y promete respuestas rápidas en 24 horas a cualquier pregunta de los medios de comunicación. También invitan a las empresas de descifrado de datos a asociarse con ellos para ayudar a las víctimas que no tienen grandes departamentos de informática a descifrar sus datos después de pagar.

El grupo también afirma que no ataca instalaciones médicas, empresas de investigación y distribución de vacunas COVID, servicios funerarios, organizaciones sin ánimo de lucro, instituciones educativas u organizaciones gubernamentales debido a sus «principios».

Tras el ataque a Colonial Pipeline, el grupo emitió un comunicado en el que afirma que en adelante revisará las víctimas que sus afiliados comprometieron y cuyos datos pretenden cifrar:

«Somos apolíticos, no participamos en la geopolítica, no es necesario vincularnos con un gobierno definido y buscar otros nuestros motivos. Nuestro objetivo es ganar dinero, y no crear problemas a la sociedad. A partir de hoy introducimos la moderación y comprobamos cada empresa que nuestros socios quieren encriptar para evitar consecuencias sociales en el futuro». [sic]

En octubre, el grupo también afirmó que está donando una parte de los fondos extorsionados a organizaciones benéficas, y publicó pruebas de dos donaciones de 10 mil dólares.

Basándose en estas comunicaciones, está claro que el grupo quiere y sabe cómo atraer la atención sobre sí mismo y sus actividades, probablemente en un intento de ganar más afiliados, pero los investigadores advierten que sus afirmaciones no han sido probadas y son realmente engañosas. Por ejemplo, si se demuestra que las organizaciones benéficas recibieron dinero obtenido de actividades ilegales, esos fondos serán confiscados o devueltos. Aunque el grupo dijo que no ataca a las instituciones educativas, sí atacó a una empresa que procesaba datos de escuelas. Cuando la empresa se negó a pagar el rescate, los atacantes enviaron correos electrónicos a las escuelas afectadas para presionar a la organización víctima advirtiéndoles de que la información personal de los niños y de los empleados de la escuela podría filtrarse.

Las afirmaciones sobre las donaciones y el hecho de no dirigirse a determinados tipos de organizaciones no han sido verificadas, y «deberían ser objeto de un mayor grado de escrutinio; estos operadores de DarkSide estarían lejos de ser los primeros ciberdelincuentes que hacen tales afirmaciones y no las cumplen», dijeron los investigadores de Flashpoint.

Cómo DarkSide compromete las redes
DarkSide y sus afiliados siguen el mismo modelo de despliegue de ransomware operado por humanos que otros prolíficos grupos de ransomware que han asolado a las empresas en los últimos años. Esto significa que los atacantes obtienen acceso a las redes a través de una variedad de métodos, incluyendo el robo de credenciales seguido de técnicas de hacking manual, y el uso de una variedad de herramientas de administración de sistemas o de pruebas de penetración para realizar el movimiento lateral.

El objetivo es mapear la red para identificar los servidores críticos, escalar privilegios, obtener credenciales administrativas de dominio, deshabilitar y eliminar copias de seguridad, exfiltrar datos sensibles y, solo cuando el terreno está preparado, desplegar el ransomware en tantos sistemas como sea posible de una sola vez. Este enfoque cuidadoso y metódico es mucho más eficaz y difícil de defender que los programas de ransomware que se propagan automáticamente a través de las redes utilizando rutinas incorporadas que pueden fallar y hacer saltar los mecanismos de detección.

«En lo que respecta a los afiliados de DarkSide, existe un solapamiento en la forma en que se distribuyó el ransomware, incluidos los afiliados que obtienen el acceso inicial a la red explotando software vulnerable como Citrix, Remote Desktop Web (RDWeb) o el protocolo de escritorio remoto (RDP), realizando un movimiento lateral y exfiltrando datos sensibles antes de desplegar finalmente el ransomware«, señalan los investigadores de la empresa de seguridad Intel471 en un informe.

Cada afiliado de DarkSide podría emplear diferentes tácticas para ganar el punto de apoyo inicial. Son similares a las técnicas utilizadas por otros grupos de ransomware: comprar credenciales robadas en mercados clandestinos, realizar ataques de adivinación de contraseñas por fuerza bruta o de relleno de credenciales, comprar el acceso a máquinas que ya están infectadas con malware de redes de bots como Dridex, TrickBot o Zloader, o enviar correos electrónicos con archivos adjuntos maliciosos que despliegan algún tipo de cargador de malware ligero.

Un actor de DarkSide observado por Intel471 obtuvo las credenciales de acceso iniciales de un intermediario de acceso a la red, y luego utilizó el servicio de intercambio de archivos Mega.nz para exfiltrar datos, utilizó una puerta trasera PowerShell para persistir en la red, y desplegó el malware de robo de información KPOT junto con el ransomware DarkSide. Otro afiliado reclutó abiertamente a «probadores de penetración» para que utilizaran las VPN y el acceso a la red ya obtenido para realizar un movimiento lateral y desplegar el ransomware.

Entre las herramientas de terceros y de código abierto que se utilizan habitualmente para las actividades de movimiento lateral se encuentran los scripts de PowerShell, los marcos de pruebas de penetración Cobalt Strike y Metasploit, la herramienta de volcado de contraseñas Mimikatz y la herramienta de visualización BloodHound, que puede ayudar a los atacantes a descubrir rutas de ataque oscuras y relaciones para explotar en entornos de Active Directory. También se abusa de herramientas que ya forman parte de Windows como Certutil.exe y Bitsadmin.exe.

Este enfoque de vivir de la tierra que incluye el uso de credenciales válidas y herramientas que también son empleadas por los administradores de sistemas y defensores de la red, hace que estos ataques de ransomware operados por humanos sean difíciles de detectar sin un monitoreo avanzado de la red.

Cómo funciona la rutina del ransomware DarkSide
El ransomware DarkSide utiliza Salsa20 y RSA-1024 para cifrar los archivos de las víctimas y, al parecer, también tiene una versión para Linux. Cuando se despliega en Windows, el malware comprueba primero la configuración del idioma del sistema, y si es el de un país situado en el antiguo bloque soviético o su esfera de influencia, evita cifrar los datos. Esto es típico del malware creado por grupos con sede en la región, y que quieren evitar atraer la atención de las autoridades locales al no atacar a las organizaciones locales.

Según los investigadores de Cybereason, el malware detiene entonces los servicios que contienen los siguientes términos en sus nombres: vss, sql, svc, memtas, mepocs, sophos, veeam o backup. Se trata de procesos relacionados con las operaciones de copia de seguridad, como el servicio Volume Shadow Copy (VSS) de Windows o los productos de seguridad. A continuación, procede a enumerar los procesos en ejecución y los termina para poder desbloquear los archivos a los que estaban accediendo para cifrarlos. También utiliza un comando de PowerShell para eliminar todas las instantáneas de volumen ya creadas y que podrían utilizarse para restaurar los archivos.

El ransomware DarkSide crea un ID único para cada víctima y lo añade a la extensión de los archivos cifrados. Los importes de los rescates pueden variar significativamente, desde unos pocos cientos de miles de dólares hasta millones, en función de lo que los atacantes hayan determinado que es el tamaño de la víctima y sus ingresos anuales.

«En marzo del 2021, el desarrollador desplegó una serie de nuevas características en un esfuerzo por atraer a nuevos afiliados», dijeron los investigadores de Intel471. «Estas incluían versiones para dirigirse a sistemas basados en Microsoft Windows y Linux, ajustes de cifrado mejorados, una función completa e integrada construida directamente en el panel de gestión que permitía a los afiliados organizar llamadas destinadas a presionar a las víctimas para que pagaran rescates, y una forma de lanzar una denegación de servicio distribuida (DDoS)».

Lucian Constantin CSOonline.com – CIOPeru.pe

 

Artículo anteriorAlianzas: un paso adelante para una TI más inclusiva
Artículo siguienteLos Desafíos de la 4ª Revolución Industrial el Día Mundial de las Telecomunicaciones