Darkside Ransomware: analisi e IoC

Il Cyber Research Team di Swascan ha osservato e analizzato la nuova famiglia di ransomware nota come Darkside ransomware, che presenta similitudini, a livello tattico, degli operatori delle famiglie di ransomware come Maze e Nefilim.

Il primo a rilevare ed intercettare Darkside è stato Trend Micro che ha identificato il ransomware con Ransom.Win32.DARKSIDE.YXAH-THA.

Sotto attacco Ransomware?
Contattaci

Darkside Ransomware: il background

Gli operatori dietro questo ransomware hanno adottato la tecnica della double extortion, minacciando di pubblicare i dati delle vittime colpite dall’infezione.

Il gruppo autore degli attacchi sembra anche aver adottato un ventaglio molto ampio per quanto riguarda lo spettro di target colpiti: questi Criminal Hacker, infatti, agiscono su larga scala e si rivolgono a grandi aziende localizzate in diversi paesi e che operano in settori differenti.

Inoltre, come altri malware della stessa famiglia, utilizza un portale dedicato dove vengono pubblicati i dati sottratti alle vittime che non hanno accettato di pagare il riscatto. Il website in oggetto è ospitato su rete Tor.

Si evidenzia che secondo la pagina web Tor del ransomware, gli attaccanti determinano il valore del riscatto in base alla capacità finanziaria dell’azienda bersaglio.

È stato indicato che le organizzazioni dei settori della sanità, istruzione, no profit e governativo non sono e saranno oggetto di attacco.

In un “comunicato stampa”, pubblicato dagli autori di Darkside, questi affermano di essere ex affiliati che avevano guadagnato milioni di dollari lavorando con altre operazioni di ransomware.

Il comunicato stampa in questione

Darkside Ransomware: dettagli tecnici

Il ransomware Darkside è stato rilevato per la prima volta a metà Agosto 2020.

Questo ransomware utilizza la crittografia Salsa20 per crittografare i file e la crittografia RSA per crittografare la chiave utilizzata da Salsa20.

Sotto attacco Ransomware?
Contattaci

Viene creata una nuova chiave per file in base a byte casuali o in base all’ indirizzo MAC della vittima. Ogni eseguibile è personalizzato per includere una richiesta di riscatto personalizzata “Welcome to Dark”, che includerà la quantità di dati rubati, il tipo di dati e un collegamento ai loro dati sul sito Tor:

Analizzando DarkSide, è stato scoperto che ha alcune somiglianze con il ransomware REvil. La somiglianza più evidente è la richiesta di riscatto, che utilizza quasi lo stesso modello.

Darkside opera normalmente eseguendo uno script PowerShell codificato. Questo comando di PowerShell viene utilizzato per eliminare le copie shadow del volume sulla macchina prima di crittografarla.

L’uso di PowerShell per eseguire il comando è lo stesso metodo utilizzato da REvil.

Sotto attacco Ransomware?
Contattaci

Inoltre è stato rilevato che DarkSide evita di proposito di infettare le vittime nei paesi della Comunità degli Stati Indipendenti (CSI): un’organizzazione internazionale composta da nove delle quindici ex repubbliche sovietiche (tra le quali la Russia), cui si aggiunge il Turkmenistan come membro associato. La sede della CSI è situata fin dalla sua fondazione a Minsk, capitale della Bielorussia.

Il codice per compiere questa “esclusione” è praticamente simile a quello utilizzato in REvil e anche in GandCrab.

Gli operatori di DarkSide personalizzano l’eseguibile del ransomware per l’azienda specifica che stanno attaccando, indicando che personalizzano ogni attacco per la massima efficacia. Come indicato, il ransomware esegue un comando di PowerShell che elimina le copie shadow del volume dal sistema. DarkSide procede quindi a terminare vari database, applicazioni e client di posta per prepararsi alla crittografia. I servizi vengono interrotti utilizzando ControlService – SERVICE_CONTROL_STOPe DeleteService:

  • vss
  • sql
  • svc $
  • memtas
  • mepoc
  • sophos
  • veeam
  • backup

Tuttavia, vengono evitati e non vengono terminati i seguenti processi:

  • • Vmcompute.exe
    • Vmms.exe
    • Vmwp.exe
    • Svchost.exe
    • TeamViewer.exe
    • Explorer.exe

Sebbene non confermato, è realisticamente possibile che gli operatori utilizzino TeamViewer per l’accesso remoto ai computer.

Darkside Ransomware: Encryption flowchart

Darkside ransomware

by Zawadi Done

 

Darkside ransomware: Indicators of Compromise

https://analyze.intezer.com/analyses/2b9d1dc0-dccb-444a-b974-037a58c806dc

  • MD5 f87a2e1c3d148a67eaeb696b1ab69133
  • SHA-1 d1dfe82775c1d698dd7861d6dfa1352a74551d35
  • SHA-256 9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297
  • Vhash 01403e0f7d1bz4!z
  • Authentihash 8b9f530b49013556e23bc2b3bd44476a53f7aa962888a5e4998a8c3fd9c94a6e
  • Imphash 6ed4f5f04d62b18d96b26d6db7c18840
  • SSDEEP 384:SGyUrEk/yEoQE+yckIYN/pBa3AWK3T2oTboHblKR/:l4klFypIYFpB/x9ngb
  • TLSH T1BB72C049536D3522D20B3D36CDA29C25B086D661CB9A6DCF384EDA9DBC71D84CF7A700
  • File type Win32 EXE
  • Magic PE32 executable for MS Windows (GUI) Intel 80386 32-bit
  • UPX compressed Win32 Executable (58.5%)
  • TRiD Win32 Dynamic Link Library (generic) (14.2%)
  • TRiD Win32 Executable (generic) (9.7%)
  • TRiD OS/2 Executable (generic) (4.3%)

Virustotal report: https://www.virustotal.com/gui/file/9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297/behavior/C2AE

Triage: https://tria.ge/200828-r31s5nvvm2/behavioral1#mutex

Darkside ransomware: first response with remediation & eradication plan

In caso di attacco tramite Darkside ransomware è necessario seguire i seguenti step di remediation:

  1. Distacco dalla rete di tutti i sistemi compromessi. Non Spegnere!
  2. Analisi di dettaglio dell’Active Directory ( verifica presenza di account di admin…. );
  3. Cambio di tutte le password di dominio;
  4. Cambio forzato delle password applicative;
  5. Revoca e riemissione di eventuali certificati;
  6. Compartimentazione e Segmentazione delle reti,
  7. Aggiornamento e patching dei sistemi e i dispositivi perimetrali;
  8. Installare e configurare un sistema di Network Detection e Response (NDR);
  9. Installare e configurare sistemi di Endpoint Detection e Response (EDR);
  10. Attivare il servizio di Monitoring & Early Warning che avranno l’obj di verificare gli alert generati dai sistemi NDR e EDR;

Come per tutti gli altri tipi di incidente informatico come Data Breach, DDoS… è necessario affrontare e rispondere ad un attacco da parte di Darkside con un approccio strutturato, predisposto e organizzato per affrontare in maniera efficace ed efficiente la violazione della sicurezza e per ridurre gli impatti a livello di Business Continuity aziendale.

Per questo Swascan ha predisposto il servizio di Incident Response , clicca sul link per saperne di più!

Incident Response: il Pronto intervento Cyber
SOC as a Service: Monitoring & Early Warning

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.