DarkSide ランサムウェア ギャングは、2020 年 8 月にその存在を発表しました。1 年も経たないうちに、ギャングは活動を停止すると発表し、2021 年 5 月に閉鎖されました。 -プロファイル攻撃 - 世界最大の石油会社の 1 つに対する重大なビジネスの中断。
2021 年 5 月のコロニアル パイプライン攻撃により、DarkSide という名前が世界的な世間の話題になりましたが、セキュリティの専門家と刑事司法当局は、DarkSide の洗練度は高いと評価しています。これにより、脅威インテリジェンス アナリストは、DarkSide ギャングが再ブランディングを行っているベテランのサイバー犯罪者で構成されているという仮説を立て、DarkSide 犯罪者が新しい名前でサイバー脅威の状況に現れる可能性があると警告しています。
このような可能性を認識した米国政府は、2021 年 11 月に、ダークサイド メンバーの名前の報告に成功した人に 1,000 万米ドルの報奨金を提供すると宣言しました。
アジアの企業は、DarkSide をいつでも目覚める可能性があり、攻撃の準備ができている潜在的な脅威と見なし、過去の攻撃から学び、準備する必要があります。
ダークサイドとは?
DarkSide は、東ヨーロッパに本拠を置くと考えられているサイバー犯罪グループの名前であり、独自のブランドのマルウェアを開発することを決めた他のランサムウェア ギャングの元アフィリエイトによって運営されています。
攻撃者は大規模な営利組織に対して非常に洗練されたランサムウェア技術を使用し、オープン Web に公開するという脅威の下でデータを暗号化します。復号化キーと引き換えに、DarkSide は 20 万ドルから 200 万ドルの身代金の支払いを要求しました。
DarkSide は、プロ並みの Web サイトと、ジャーナリストや暗号解読会社との提携を試みていることから、自らを「エンタープライズ」ギャングと見なしています。 DarkSide のブランディングの重要な要素の 1 つは、ほぼ一貫して挑発的な公的なペルソナであり、働く人々の擁護者としての地位を示しています。これに沿って、DarkSide は、政府、教育、ヘルスケア、葬儀、非営利セクターを対象としておらず、より大きな独立企業からの収益のみを目的としていると固く宣言しています。
これは、「私たちの目標はお金を稼ぐことであり、社会に問題を引き起こすことではありません」と述べた、DarkSide が共有した Twitter 投稿によって強化されました。ダークウェブの投稿で、このグループは、2020 年 10 月付けの Children International と The Water Project へのそれぞれ 0.88 BTC (当時の価値は 10,000 米ドル) の寄付の領収書を投稿しました。
DarkSide は、Ransomware as a Service (RaaS) ビジネス モデルに従って活動を行っています。これにより、このグループはサードパーティのクライアントにランサムウェア攻撃を実行するためのツールを提供し、強要された金額の一部として手数料を受け取ります。フォーラムの広告によると、RaaS オペレーターは 50 万米ドル未満の身代金に対して 25% を受け取りますが、500 万米ドルを超える身代金に対しては 10% に減少します。
DarkSide は、被害者のデータを段階的に公開するオプションを提供することでランサムウェアを宣伝しています。これにより、被害者に身代金の支払いを求める圧力がさらにかかる可能性があります。また、彼らの頼りになるデータ漏洩 Web サイトが「安定した訪問とメディア報道」を受けていることを誇示しています。
DarkSide は、ファイルとサーバーのロックを解除するために必要なデジタル キーと、被害者から盗まれたデータを破棄するという約束と引き換えに別の身代金の両方に対して別々の金額を要求することを含む、二重恐喝の慣行を順守します。
DarkSide ランサムウェアはどのように機能しますか?
DarkSide ランサムウェアは企業のネットワークに侵入し、数分以内にアクティブなエンドポイント全体に拡散し、感染したエンドポイントのすべての情報を暗号化して、身代金を支払わない限り回復不能にします。
フィッシング リンクや電子メールの添付ファイルを介してコンピューターにアクセスする他のタイプのランサムウェアとは異なり、DarkSide の高度なランサムウェアは、ネットワーク内のバックドア (Palo Alto の CVE-2019-1579 および Microsoft Exchange の脆弱性と同様) を利用し、組織の接続を侵害します。最初に 1 つの企業に感染し、次にサードパーティのパートナーに拡散することで、認証されていない攻撃者は悪意のあるコードをリモートで実行し、侵害を実行できます。
DarkSide ランサムウェアの亜種は、配信に Silent Night ボットネット (Zloader とも呼ばれます) を使用します。 Zloader は、2006 年から銀行を標的としている Zeus 金融マルウェアの亜種であり、被害者の周辺ドメインに感染する第 1 段階のトロイの木馬ローダーとして機能します。足場が確立されると、Cobalt Strike レッド チーミング ツールを使用して、DarkSide ランサムウェアが拡散および展開されます。
ネットワーク エンドポイントにダウンロードされた後、DarkSide ランサムウェアはファイルの暗号化に進みます。これは、カスタム マトリックスと RSA-1024 暗号化アルゴリズムを備えた Salsa20 エンクリプターを使用して行われます。 Salsa20 は、ネットワーク内に入ると停止することがほぼ不可能な高速暗号化ツールです。その後、DarkSide ランサムウェアは、ファイルのロック解除機能を含むプロセスを強制終了し、次の壁紙を生成します。
エンドポイントが暗号化されてメッセージが表示されると、ユーザーは数日以内に身代金を支払うことができます。要求があれば、DarkSide アフィリエイトは、データのごく一部を解読して、実際に有効な解読キーを持っていることを証明することで、「生命の証明」を提供できます。
特筆すべき出来事
おそらく、DarkSide が関与する最も注目すべき出来事は、2021 年 5 月のコロニアル パイプラインへの攻撃であり、テキサスから米国北東部にガソリンを輸送する導管の閉鎖を引き起こし、消費者の大規模なガソリン不足と石油の混乱を引き起こしました。従属サプライチェーン。コロニアル パイプラインは、1 日に 250 万バレルのガソリン、ディーゼル、灯油、ジェット燃料を 5,500 マイルのルートで運び、東海岸の燃料供給のほぼ半分を供給しています。
コロニアルはデータ バックアップを使用して、攻撃から 1 週間以内に業務を部分的に復旧することができましたが、ガソリン 1 ガロンの全国平均価格は、ほぼ 10 年ぶりに 3 米ドルを超えました。ジョー・バイデン大統領は攻撃のために国家非常事態を宣言し、コロニアル・パイプラインは最終的に暗号解読キーを受け取り、そのデータが公開されるのを防ぐために 440 万米ドル相当のビットコインを支払いました。
DarkSide のブログ活動とビットコイン ウォレットは、このグループのランサムウェアの亜種が、有名なコロニアル事件を除けば非常に活発であったことを示しています。実際、暗号通貨セキュリティ会社 Elliptic は、2021 年 3 月に DarkSide によって開設されたビットコイン ウォレットが、21 のビットコイン ウォレット (コロニアル パイプラインの身代金を含む) から 1750 万米ドルを受け取ったと述べています。合計で、Darkside は少なくとも 47 人の被害者から 9,000 万米ドル以上の身代金を受け取りました。
な
ダークサイド攻撃を防ぐには?
DarkSide は現在、休眠中の脅威ですが、ギャングのメンバーはサイバー犯罪の現場で活動を続けている可能性が高く、近い将来、新しいランサムウェアの亜種で再出現すると予測されています。定期的なオフライン バックアップ、強化されたセキュリティ構成、定期的なパッチ適用、強力な EDR ツールのインストールなど、適切なサイバー衛生によってランサムウェアから身を守ることはすべて、サイバー防御を強化するための実証済みの戦略です。