Gruppo TIM
Gruppo TIM

Il ransomware DarkSide

DarkSide è un ceppo di ransomware che i threat actor hanno utilizzato per colpire più organizzazioni di grandi dimensioni e ad alto reddito, con conseguente crittografia e furto di dati sensibili minacciando di renderli disponibili pubblicamente se la richiesta di riscatto non venisse ottemperata. 

 

Cos’è DarkSide?

Il ransomware DarkSide, visto per la prima volta nell’agosto 2020 e aggiornato come v2.0 nel marzo 2021, è associato al gruppo DarkSide e ora opera spesso come ransomware-as-a-service (RaaS). 

Il gruppo ransomware DarkSide ha una storia di double extortion delle sue vittime, richiedendo un pagamento per sbloccare i computer interessati e anche per recuperare i dati esfiltrati.

Le tecniche che gli aggressori hanno utilizzato nel ransomware DarkSide possono essere molto sofisticate: tra queste, figurano l’Initial Access sfruttando Public-Facing Applications (ad es. RDP), Privilege Escalation e Impair Defenses. 

DarkSide utilizza le vulnerabilità CVE-2019-5544 e CVE-2020-3992. 

Entrambe le vulnerabilità dispongono di patch ampiamente disponibili, ma gli aggressori prendono di mira le organizzazioni che utilizzano versioni del software prive di patch o precedenti. 

Durante la crittografia, il ransomware DarkSide utilizza una richiesta di riscatto personalizzata e un’estensione di file per le proprie vittime.

Sebbene, secondo quanto riferito, DarkSide abbia chiuso i battenti a seguito dell’interruzione di sei giorni di Colonial Pipeline all’inizio di maggio, il governo degli Stati Uniti sta compiendo sforzi significativi per contrastare l’industria del ransomware come potenziale minaccia alla sicurezza nazionale. 

 

Dettagli tecnici

Initial Access 

Il ransomware DarkSide esegue attacchi di brute force e sfrutta vulnerabilità note nel protocollo desktop remoto (RDP) per ottenere l’Initial Access. 

Dopo l’Initial Access, DarkSide esegue la convalida sulle macchine da infettare. 

Il ransomware raccoglie le informazioni sul nome del computer e sulla lingua del sistema nella sua esecuzione iniziale del codice. 

DarkSide viene utilizzato per indirizzare i paesi di lingua inglese individuando la lingua di sistema predefinita.

Privilege Escalation e Lateral Movement

La Privilege Escalation consiste in tecniche utilizzate per ottenere autorizzazioni di livello superiore su un sistema o una rete. 

Gli attacchi Privilege Escalation possono essere eseguiti se un utente malintenzionato sfrutta un bug o un errore di configurazione in un’applicazione o in un sistema operativo. 

La Privilege Escalation viene utilizzata per ottenere un accesso privilegiato a risorse che normalmente non dovrebbero essere disponibili per l’utente. 

Il ransomware DarkSide verifica se l’utente dispone dei privilegi di amministratore; in caso contrario, tenterà di ottenere tali privilegi utilizzando la tecnica di bypass UAC utilizzando l’interfaccia COM CMSTPLUA.

Esfiltrazione dati

Il ransomware DarkSide identifica le applicazioni di backup, ne esfiltra i dati e quindi crittografa i file locali come parte della distribuzione del ransomware.

Eliminazione delle Volume Shadows Copies

Le campagne di ransomware spesso tentano di eliminare le volume shadow copies dei file su un determinato computer in modo che le vittime non siano in grado di riottenere l’accesso ai file ripristinando le copie shadow. 

DarkSide elimina le volume shadow copies tramite gli script PowerShell.

Impair Defenses

DarkSide disabilita i servizi di protezione della sicurezza utilizzando la tecnica Impair Defenses per evitare il possibile rilevamento dei loro strumenti e attività. 

Ciò può assumere sostanziarsi nell’interruzione del software di sicurezza o dei processi di registrazione degli eventi, dell’eliminazione delle chiavi di registro in modo che gli strumenti non vengano avviati in fase di esecuzione o di altri metodi per interferire con la scansione o la segnalazione delle informazioni degli strumenti di sicurezza. 

Esecuzione del ransomware

Il ransomware genera l’estensione del file personalizzata in base al GUID della macchina e utilizzando l’API RtlComputeCRC32. 

L’estensione del file generata utilizzando Machine GUID è di 8 caratteri e verrà aggiunta a ciascun nome di file crittografato.

Per prevenire il rilevamento del ransomware, DarkSide utilizza API crittografate (che verranno risolte dinamicamente), stringhe e note di riscatto. 

DarkSide esclude alcuni file in base alla loro estensione. 

I file vengono crittografati utilizzando Salsa20 e una chiave generata in modo casuale utilizzando l’API RtlRandomEx e crittografati utilizzando una chiave pubblica RSA-1024.

 

Vulnerabilità sfruttate

Come riportato da Zdnet, gli aggressori possono attaccare l’infrastruttura virtuale tramite versioni deboli dell’hypervisor VMware ESXi. 

Il gruppo DarkSide ha utilizzato le vulnerabilità CVE-2019-5544 e CVE-2020-3992 in VMware ESXi. 

Entrambe le vulnerabilità sono state corrette, ma gli attaccanti continuano a prendere di mira le organizzazioni che utilizzano versioni del software prive di patch o precedenti. 

Open SLP (Service Layer Protocol) viene utilizzato per più macchine virtuali per archiviare informazioni su un singolo server nell’hypervisor VMware ESXi.

 

Come prepararsi contro i threat actor

Trovare e correggere i collegamenti deboli prima che lo facciano gli aggressori: qualsiasi server con connessione a Internet senza patch è un exploit lontano dal payday di script-kiddie.

Constatare la violazione e correggere i collegamenti deboli all’interno: i threat actor cercano modi rapidi per ottenere le credenziali di amministratore del dominio.