DarkSide - tak brzmi nazwa nowej grupy cyberprzestępców, która składa się z doświadczonych hakerów. Korzystają oni z zaawansowanych technik, aby przeprowadzać zabójczo groźne ataki ransomware.
DarkSide to grupa, która sama poinformowała o swoim istnieniu - wysłała na początku bieżącego miesiąca komunikat do mediów, w którym chwali się, że należą do niej osoby stojące za wieloma udanymi atakami ransomware. A wszystko wskazuje na to, że należą do niej doświadczeni hakerzy, wcześniej związani ze znanymi organizacjami przestępczymi. Jak podaje serwis BleepingComputer, Dark Side biorze na cel przedsiębiorców gotowych zapłacić okup. Haracz wynosi od 200 tys. do 2 mln USD. Co ciekawe - przestępcy deklarują, iż nie zamierzają atakować placówek medycznych, szkół oraz uczelni, organizacji non-profit i sektora rządowego.
Jak wygląda atak? Hakerzy włamują się do sieci i rozprzestrzeniają się w niej do czasu, aż uzyskają dostęp do konta administratora i kontrolera domeny Windowsa. Wówczas zbierają niezaszyfrowane dane z serwerów ofiary i przesyłają je na własne urządzenia. Te pozyskane dany wrzucają na specjalnie stworzoną w tym celu stronę, podając: datę włamania, ilość danych, zrzuty ekranu i typy skradzionych danych. Podczas szyfrowania komputera nie są zatrzymywane procesy na atakowanych urządzeniach, co w przypadku tego typu incydentów jest rzadkim zjawiskiem. Oprogramowanie ransomware wykorzystuje do szyfrowania plików klucz SALSA20, a następnie jest on szyfrowany publicznym kluczem RSA-1024, zawartym w pliku wykonywalnym.
Zobacz także: ESET publikuje raport zagrożeń w II kwartale 2020: ransomware znowu rośnie w siłę
Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce, podsumowuje:
Wszystko wskazuje na to, że mamy do czynienia z kolejną niebezpieczną grupą cyberprzestępczą. Co gorsza, istnieje duże prawdopodobieństwo, że jej członkowie mają powiązania z REvil - jak do tej pory największym i najgroźniejszym operatorem ransomware. Świadczy o tym duże podobieństwo kodów, które używają obie grupy, oraz unikanie ataków na kraje należące do Wspólnoty Niepodległych Państw
Ofiara skutecznego włamania musi zapłacić okupu - jeśli tego nie zrobi, wykradzione dane będą publikowane przez hakerów co najmniej pół roku.
