Por Brandon Hoffman
Con el incidente de ransomware que cerró un importante oleoducto en los Estados Unidos, otra variante bien conocida del ciberdelito clandestino se ha convertido en el centro de atención internacional.
El 10 de mayo de 2021, la Oficina Federal de Investigaciones anunció que el ataque a Colonial Pipeline fue causado por la variante del ransomware DarkSide, lo que obligó a la compañía a detener las operaciones del oleoducto para que Colonial pudiera llevar a cabo una investigación completa del evento. Si bien el público en general puede estar escuchando el nombre de DarkSide por primera vez, Intel 471 ha estado rastreando a los asociados con la variante desde que anunciaron por primera vez sus productos al ciberdelito clandestino el año pasado.
El siguiente es un examen de cómo DarkSide saltó a la fama entre los ciberdelincuentes, que Intel 471 ha estado rastreando desde que emergieron en la clandestinidad, en un ecosistema que está repleto de actores que buscan nuevas formas de extorsionar a las empresas con su dinero.
Aunque fue visto en la naturaleza desde agosto de 2020, el desarrollador de DarkSide «debutó» el ransomware en el popular foro de hackers en ruso XSS en noviembre de 2020, anunciando que estaba buscando socios en un intento de adoptar un afiliado «como un -modelo de servicio. Poco después, se descubrió que el ransomware estaba detrás de numerosos ataques, incluidos varios incidentes contra fabricantes y bufetes de abogados en Europa y Estados Unidos.
En marzo de 2021, el desarrollador implementó una serie de nuevas funciones en un esfuerzo por atraer nuevos afiliados. Estas incluían versiones para apuntar a sistemas basados en Microsoft Windows y Linux, configuraciones de cifrado mejoradas, una característica completa e integrada construida directamente en el panel de administración que permitía a los afiliados organizar llamadas destinadas a presionar a las víctimas para que paguen rescates, y una forma de lanzar un sistema distribuido. denegación de servicio (DDoS).
Con respecto a los afiliados de DarkSide, existe una superposición en la forma en que se entregó el ransomware, incluidos los afiliados que obtuvieron acceso inicial a la red mediante la explotación de software vulnerable como Citrix, Remote Desktop Web (RDWeb) o el protocolo de escritorio remoto (RDP), realizando movimientos laterales y exfiltrados. datos confidenciales antes de finalmente implementar ransomware.
Para el acceso inicial a las redes, los actores generalmente compraban credenciales de acceso en foros clandestinos, realizaban ataques de fuerza bruta, usaban campañas de spam para difundir cargadores de malware y / o compraban acceso a botnets populares como Dridex, TrickBot y ZLoader. En cuanto a las herramientas posteriores a la explotación, el arsenal generalmente incluía los frameworks Cobalt Strike y Metasploit, Mimikatz y BloodHound.
Algunas de las tácticas, técnicas y procedimientos que Intel 471 ha observado de los afiliados de DarkSide:
Un actor prominente se asoció con agentes de acceso a la red para obtener las credenciales de acceso inicial, utilizó el servicio de intercambio de archivos Mega.nz para extraer datos de las víctimas, aprovechó una puerta trasera de PowerShell para el reconocimiento y la persistencia dentro de las redes corporativas y también operando el malware de robo de información KPOT junto con la implementación de DarkSide.
Otro actor reclutó probadores de penetración para usar VPN en conjunciones con el acceso a la red ya obtenido, lo que permite a los atacantes moverse lateralmente dentro de la red, exfiltrar datos confidenciales e implementar ransomware.
A) Los operadores de DarkSide no se responsabilizaron por el ataque Colonial Pipeline ni volcaron públicamente ningún dato perteneciente a la empresa en el momento de este informe. Sin embargo, el 10 de mayo de 2021, el grupo lanzó un anuncio aludiendo a su posible participación en el ataque. Los operadores prometieron en el anuncio que introducirán «moderación» en el futuro al verificar cuidadosamente cada empresa que los afiliados de DarkSide quieran cifrar «para evitar consecuencias sociales en el futuro». Los operadores también afirmaron que el grupo está estrictamente motivado por el dinero y no está afiliado a ningún aparato gubernamental.
B) Esta no es la primera vez que los operadores de DarkSide intentan darle un giro a las relaciones públicas en sus acciones. En octubre, el grupo anunció en su blog que donaría una parte de los rescates recaudados a Children International , una organización de patrocinio infantil sin fines de lucro dedicada a combatir la pobreza, y The Water Project , una organización sin fines de lucro que tiene como objetivo proporcionar agua potable a los países. en África subsahariana.
«Creemos que es justo que parte del dinero que han pagado se destine a obras de caridad», decía la entrada en el sitio del blog. «No importa lo malo que crea que es nuestro trabajo, nos complace saber que ayudamos a cambiar la vida de alguien».
Se desconoce si DarkSide continuó financiando las organizaciones benéficas fuera de su donación inicial.
La popularidad y la madurez creciente del modelo de ransomware como servicio combinado con los sistemas obsoletos que controlan los sistemas de energía es un problema que se agrava. A medida que los actores de amenazas continúan observando el éxito operativo del ransomware, es probable que más ciberdelincuentes quieran participar debido a sus subindustrias prósperas (es decir, agentes de acceso, tiendas de credenciales y alojamiento a prueba de balas) y mayores retornos en comparación con otros delitos (es decir, la focalización cuentas bancarias). Es imperativo que las empresas responsables de la infraestructura crítica comprendan que los sistemas inseguros presentan un jugoso objetivo de ransomware para el ciberdelincuente clandestino, y las defensas proactivas contribuirán en gran medida a prevenir incidentes futuros como lo que sucedió con Colonial Pipeline.
AUTOR
*Brandon Hoffman es el director de seguridad de la información (CISO) en la empresa de inteligencia de amenazas Intel 471. Con casi 20 años de experiencia en ciberseguridad, Brandon se desempeñó recientemente como CISO y jefe de estrategia de seguridad en Netenrich, ayudando a las empresas a acelerar la transformación de la TI digital para generar resultados en ITOps, ciberseguridad, redes y nube. Antes de Netenrich, se desempeñó como vicepresidente de soluciones de inteligencia en Intel 471, donde fue responsable del equipo de soluciones, que ayudó a organizaciones de todas las formas y tamaños a poner en funcionamiento las ofertas de inteligencia de Intel 471. También se ha desempeñado como director de tecnología (CTO) en Lumeta Corporation; CTO federal en la empresa de análisis de riesgos de seguridad de la red RedSeal Networks; y fue profesor adjunto en la Universidad Northwestern durante casi cinco años, donde fue profesor invitado en el curso de Seguridad de la Información de la Maestría en Ciencias en TI 458. Al principio de su carrera, Hoffman ocupó una variedad de roles, incluido el desarrollo técnico de negocios y puestos de profesional dentro de la arquitectura de seguridad, pruebas de penetración, redes y el centro de datos. Tiene una Maestría en Ciencias en Tecnología de la Información de la Northwestern University y una Licenciatura en Ciencias en Sistemas de Información Geográfica (GIS) de la Universidad de Illinois.
Fuente: Intel 471
