随着勒索软件事件导致Colonial Pipeline的一条主要输油管道关闭,DarkSide这个名字受到广泛关注。2021年5月10日,FBI(美国联邦调查局)宣布,对ColonialPipeline的攻击是由一款名为“达克赛德” 的勒索软件(DarkSide ransomware)变种引起的。而“达克赛德”勒索软件则源于一个新的威胁行为体 – DarkSide(下图 InformationWeek)。最新报道说Colonial Pipeline已支付高达$500万美元赎金,其输油管道因而得以恢复运转。DarkSide经此一役名声鹊起,似有由黑客变身豪客之势,因为它可能一如既往地将部分赎金捐赠给宗教弱势团体。自古英雄出少年。出道不及2年的DarkSide一出手便弄出如此这般的动静,让日进斗金、身家亿万的大厂臣服,搞得全球唯一超霸灰头土脸。 那么,这个 DarkSide究竟是何方神圣呢?
DarkSide是一个相对较新的组织,该组织利用勒索软件网络攻击入侵美国和欧洲的多家公司,他们试图以泄露个人资料等威胁手段勒索公司。DarkSide的首秀是在去(2020) 年11月,当时DarkSide开发者在俄语黑客论坛XSS上展示了他们的勒索软件。其实在DarkSide公开亮相前的2020年8月,就有反网络犯罪机构注意到该组织的存在。就在俄语黑客论坛XSS期间,DarkSide还打出广告,以加盟成员(affiliates)“即服务”模式, 招聘合作伙伴。很快,DarkSide就从网络犯罪帮派中脱颖而出,成为众多网络攻击勒索软件的幕后黑手,这中间就包括几起针对欧美制造商和律师事务所的事件(下图 fireye)。
据网络犯罪情报首要提供商英特尔471公司(Intel471)和网络安全技术公司Cybereason调查发现, DarkSide的组织出色,他们将勒索当作一门生意来做,有一个成熟的商业模式 -- 勒索软件即服务(Ransomware as a Service 简称RaaS),和加盟伙伴计划 -- 即DarkSide开发出勒索软件攻击工具后将其给那些希望实施攻击的人。 任何试图加盟DarkSide勒索软件即服务计划的伙伴都必须通过面试,如果他们成功了,就会有一个控制面板来选择他们的勒索软件版本,管理他们的受害者,并联系支持人员。DarkSide网站设有新闻室、邮件列表,甚至还有一个服务台的电话热线,以便与受害者进行谈判并收集关于受害者的信息,不仅是关于他们环境的技术信息,而且还有与受害者公司本身有关的更一般的细节,如组织的规模和估计收入等。
在部署勒索软件之前,DarkSide加盟伙伴会试图渗透并横向移动整个受害者组织,使攻击者能够在网络上横向移动,可以更快地加密更多的数据/系统(下图 VARONIS)。要做到这一点,使这一点,通常加盟伙伴需要事先了解任务涉及的具体对象。这就是Colonial Pipeline攻击如此奇特的原因。Cybereason首席执行官兼联合创始人利奥尔·迪弗(Lior Div)阐述了这一点:他们知道谁是经理,他们知道和谁说话,他们知道钱在哪里,他们知道谁是决策者…。换句话说,这可是些身怀绝技,出手便可直击命门、一剑穿喉、致目标于死地的狠角色。
2021年3月,DarkSide又开发推出了许多新功能,以吸引新的加盟伙伴(下图 BANK INFO SECURITY)。这其中就包括针对基于Microsoft Windows和Linux系统的增强版本的加密设置、直接内置在管理面板中的全面集成功能。该功能使加盟伙伴能够安排受害者支付赎金的电话,和启动分布式拒绝执行服务指令(DDoS)的方法。加盟伙伴现在可以透过不同的方式将勒索软件下载部署到受害者的网络平台上,如通过利用易受攻击的软件Citrix远程桌面Web(RDWeb)或远程桌面协议(RDP)来获得初始网络访问,执行横向移动,并在最终部署勒索软件之前过滤敏感数据。加盟伙伴通常在地下论坛上购买访问资格、暴力攻击、使用垃圾邮件活动传播恶意软件加载程序和/或购买对如Dridex、TrickBot和ZLoader一类流行僵尸网络的访问资格等途径来获得网络的初始访问权。
DarkSide有很多加盟伙伴,包括UNC2628: 这个小组自2月份以来一直很活跃。他们可能只潜伏在受损的网络上两到三天,便完成从最初的感染到勒索软件的部署,以及加密;UNC2659:至少从1月份开始运行,平均在10天内完成从对受害者组织的初始访问到勒索软件部署;UNC2465:这是其网络犯罪活动可追溯至2019年4月的“老枪”,它现在通过Smokedham.NET后门使用网络钓鱼电子邮件传递暗箱信息。在FireEye(下图 Tweet)记录的一个案例中,UNC2465在勒索软件执行前几个月就获得了对网络的初始访问权。
2021年5月10日,DarkSide 在“DarkSide泄密”网站上发布一份声明(下图 VentureBeat),暗示其加盟伙伴可能参与了对Colonial Pipeline的袭击,并承诺他们在未来要“节制”,通过筛选加盟伙伴,“以避免未来的社会后果”。声明还宣称,DarkSide的行动是出于严格金钱动机,无任何政治目的,也不隶属于任何政府机构。DarkSide说,他们有一套行为准则,即禁止攻击医院、收容所、学校、大学、非营利组织和政府机构。毫无疑问,这样的行为准则是建立对受害者的信任和信心,即他们就有财力,也更有可能会为勒索买单。
去年10月,DarkSide在其博客上宣布,将把收取的赎金的一部分捐赠给致力于消除贫困的非营利儿童赞助组织“儿童国际”和旨在向撒哈拉以南非洲国家提供清洁水的非营利组织“水项目”(Water Project)。“我们认为这是公平的,他们已经支付的一些钱将用于慈善事业,”DarkSide在博客网站上写道, “不管你认为我们的工作有多糟糕,我们很高兴地知道我们帮助改变了某些人的生活。” 听起来DarkSide似乎颇有道德准则,活脱脱现代版的劫富济贫好汉罗宾汉(下图 billboard),也似警匪电影里的"good guy"。对小说和影视剧本作者来说,或许这是一个绝好的创作素材。目前还不清楚DarkSide是否在此次Colonial Pipeline勒索中,会继续为慈善机构提供资金,如果它真收到了赎金的话。
最新消息,笔者昨(5月14)日已无法登陆DarkSide网页。据说已被迫关闭,但如此轻松顺利地得手数百万美金的案例,难道不会让更多的黑客群起争当DarkSide的仿效者?
参考资料
Goud, N. (2021). DarkSide Ransomware demands $2,000,000. Cybersecurity INSIDERS. 链接 https://www.cybersecurity-insiders.com/darkside-ransomware-demands-2000000/
Intel471. (2021). Here’s what we know about DarkSide ransomware. 链接 https://www.intel471.com/blog/darkside-ransomware-colonial-pipeline-attack
Javers, E. & Macias, A. (2021). Colonial Pipeline paid $5 million ransom to hackers. CNBC. 链接 https://www.cnbc.com/2021/05/13/colonial-pipeline-paid-ransom-to-hackers-source-says.html
Palmer, E. (2021). What is DarkSide? Russia-Linked Hacker Group Behind Colonial Pipeline Shutdown. Newsweek. 链接 https://www.newsweek.com/darkside-hacker-group-russia-colonial-pipeline-1590352
Russon. M. (2021). US fuel pipeline hackers 'didn't mean to create problems'. BBC. 链接 https://www.bbc.com/news/business-57050690
Shear, M. D. Perlroth, N. & Krauss, C. (2021). Colonial Pipeline Paid Roughly $5 Million in Ransom to Hackers. The New York Times. 链接 https://www.nytimes.com/2021/05/13/us/politics/biden-colonial-pipeline-ransomware.html
“既然美国和西方掌握银行清算系统,难道不能顺藤摸瓜,抓取赎金的人吗?”
“拜读上一篇以后,注意了本地的报道,这里报道是500亿日元。感谢分享
令人联想到 “水浒梁山泊”,还有 “Gold Father",介于两者之间,还是贫(众)富(个)兼顾?!”
令人联想到 “水浒梁山泊”,还有 “Gold Father",介于两者之间,还是贫(众)富(个)兼顾?!
"赶紧去查了一下,支付的赎金是5M, 不是5亿美元,更不是500亿。吓了我一跳,羊毛出在羊身上,若支付500亿,咱小老百姓加油时每加仑油钱还不得上10刀都不止。"