DarkSide(해커 그룹)

DarkSide (hacker group)
다크사이드
다크사이드
목적랜섬웨어의 서비스화
지역
동유럽
공용어
러시아어

다크사이드동유럽에 본부를 것으로 추정되는 사이버 범죄 집단으로 랜섬웨어와 강탈을 이용해 피해자를 노리는 것으로 최근 발생한 콜로니얼 파이프라인의 사이버 공격과 도시바 [1][2][3][4]부대 공격의 배후로 추정된다.그 그룹은 [4][5][6]랜섬웨어를 서비스로 제공한다.

다크사이드는 그 자체가 [7]정치적이지 않다고 주장한다.

대상

다크사이드는 동유럽, 아마도 러시아근거지를 두고 있는 것으로 알려져 있지만, 세간의 이목을 끄는 사이버 공격에 책임이 있는 다른 해킹 그룹과 달리 직접적으로 국가가 후원하는 조직(즉, 러시아 [3][8]정보기관에서 운영하는 조직)은 아닌 것으로 여겨진다.DarkSide는 시스템 언어 설정을 확인하여 특정 지리적 위치에 있는 대상을 방지합니다.제외 목록에는 현재, 이전 또는 창설된 12개 CIS 국가의 언어 외에 시리아 [9]아랍어가 포함되어 있다.전문가들은 이 단체가 적어도 러시아 [8]당국의 암묵적인 제재와 함께 러시아에서 확산하고 번영한 많은 영리 랜섬웨어 단체 중 하나라고 말한다.언어 체크 기능은 랜섬웨어 인스턴스가 구축되면 비활성화 시킬 수 있습니다.이러한 [10]버전 중 하나가 2021년 5월에 관측되었다.또한 DarkSide는 의료 센터, 학교비영리 [11]단체대상으로 하지 않습니다.

DarkSide가 사용하는 랜섬웨어 코드는 다른 해킹 그룹인 REVIL이 사용하는 랜섬웨어 소프트웨어와 유사합니다. REVIL의 코드는 공개되지 않아 DarkSide가 REVIL의[12] 일부이거나 [4]REVIL의 파트너임을 시사합니다.다크사이드와 리빌은 유사한 구조화된 몸값 메모와 동일한 코드를 사용하여 피해자가 독립국가연합([13]CIS) 국가에 있지 않은지 확인합니다.

Trend Micro Research의 자료에 따르면, 미국은 단연 다크사이드의 가장 목표한 국가로 500개 이상의 탐지를 하고 있으며, 프랑스, 벨기에, [13]캐나다가 그 를 잇고 있다.100만 대당 영향을 받는 장치 수 측면에서 McAfee가 관찰한 25개 국가 중 가장 큰 영향을 받는 국가는 이스라엘(1573.28), 말레이시아(130.99), 벨기에(106.93), 칠레(103.97), 이탈리아(95.91), 터키(66.82), 오스트리아(61.19), 우크라이나(56094)이다.

2021년 6월 현재 DarkSide는 한 회사의 데이터만 게시했으며 게시된 데이터 양은 200GB를 [15]초과합니다.

공격 메커니즘

DarkSide 랜섬웨어는 처음에 CMSTPLUA [15]COM 인터페이스를 사용하여 UAC를 바이패스합니다.이 소프트웨어는 구소련 국가에서 기계들을 피하기 위해 시스템의 위치와 언어를 확인합니다. 제외되는 언어 목록러시아어, 우크라이나어, 벨라루스어, 타지크어, 아르메니아어, 아제르바이잔어, 그루지야어, 카자흐스탄어, 키르기스어, 투르크멘어, 우즈베키스탄어, 타타르어, 몰도바 루마니아어, 시리아 [15]아랍어입니다.

그런 다음 소프트웨어는 LOG라는 이름의 파일을 생성합니다.{userid}.로그 파일로서 [15]기능하는 TXT.소프트웨어는 휴지통의 파일을 하나씩 삭제하고 특정 보안 및 백업 소프트웨어 프로그램을 제거한 후 사용자 데이터 파일에 액세스할 수 [15]있도록 프로세스를 종료합니다.적절한 암호화 프로세스 중에 사용자 ID가 MAC 주소에 근거해 생성되어 파일명에 부가되어 표시되며, 파일 데이터는 Salsa20 및 랜덤하게 생성된 매트릭스 키(하드코드된 RSA 키로 암호화되어 [15]파일 자체에 부가됨)로 암호화된다.그러나 소프트웨어는 특정 폴더, 파일 및 파일 [15]형식을 암호화하지 않습니다.

마지막으로 랜섬웨어는 README.{userid}라는 이름의 몸값 메모를 남깁니다.TXT는 사용자에게 Tor로 사이트에 접속하도록 지시합니다.이 사이트는 사용자에게 자신의 신원을 확인하고 Bitcoin 또는 Monero를 사용하여 [15]결제하도록 안내합니다.

비즈니스 모델

DarkSide는 중간 해커 26c3weq("계열사")[16]를 사용합니다.DarkSide가 개발한 랜섬웨어에 대한 접근권을 DarkSide에 부여하는 모델인 "Transomware-as-a-Service"[4][5][6]를 사용하고 있습니다.이 모델은 DarkSide가 개발한 랜섬웨어에 대한 접근권을 DarkSide에 부여하는 대신 50만 달러 미만의 랜섬웨어 지불의 25%, 500만 [4]달러 이상의 랜섬웨어 지불의 10%를 제공합니다.계열사는 특정 피해자를 위해 빌드를 작성하는 관리 패널에 액세스할 수 있습니다.이 패널에서는 각 랜섬웨어 빌드에 대해 어느 정도 커스터마이즈할 수 있습니다.FireEye의 자회사인 사이버 보안 회사 Mandiant는 DarkSide RaaS 플랫폼의 서로 다른 계열사를 나타낼 수 있는 5개의 위협 활동 클러스터를 문서화하고 이 중 UNC2628, UNC2659 및 UNC2465라고 [10]하는 3개의 클러스터에 대해 설명했습니다.

이력 및 공격

2020

8월부터 10월까지

이 그룹은 2020년 [15]8월에 처음 알려졌다.사이버 보안 회사인 카스퍼스키는 전문적으로 보이는 웹사이트와 언론인 및 암호 해독 [2]회사와의 제휴 시도 때문에 이 그룹을 "기업"이라고 표현했다.이 단체는 병원, 학교, 비영리 단체, 정부 [6]대신 거액의 몸값을 지불할 수 있는 조직을 목표로 하는 것을 선호한다고 공개적으로 밝혔다.이 그룹은 몸값 수익의 일부를 [1][17]자선단체에 기부했다고 주장하며 "로빈 후드" 이미지를 키우려고 노력해왔다.이 단체는 다크웹 게시물에서 2020년 10월 13일자로 어린이 국제 및 물 프로젝트에 각각 BTC 0.88(당시 미화 1만 달러 상당)의 기부 영수증을 게시했다.어린이 인터내셔널은 이 [18][19]돈을 보관하지 않을 것이라고 밝혔다.

2020년부터 2021년까지

12월부터 5월까지

2020년 12월부터 2021년 5월까지 이 그룹이 요구한 몸값은 미화 20만 달러에서 200만 [15][12]달러까지 다양했다.다크사이드는 4차례에 걸쳐 미국의 석유 [8]및 가스 인프라를 공격했다.DarkSide 랜섬웨어는 2021년 3월 IT 관리 서비스 프로바이더 CompuCom을 공격하여 복구 비용으로 미화 2천만 달러를 지출했습니다.또, 캐나다 할인 자동차 및 트럭 렌탈과[20] [21]도시바의 자회사 도시바 테크도 공격했습니다.다크사이드는 독일 브렌타그 [16]회사로부터 돈을 갈취했다.암호통화 보안업체 엘리옵틱은 2021년 3월 다크사이드가 개설한 Bitcoin 지갑이 21개의 Bitcoin 지갑(콜로니얼 파이프라인 몸값 포함)으로부터 미화 1750만 달러를 받았다고 밝혀 수개월 [16]동안 받은 몸값 수를 나타냈다.엘리옵틱의 분석에 따르면 다크사이드는 적어도 47명의 피해자로부터 9천만 달러 이상의 몸값을 지불받았다.평균 몸값은 190만 [22]달러였다.

2021

그럴지도 모른다

연방수사국은 다크사이드가 2021년 5월 7일 악성코드에 의해 자행된 콜로니얼 파이프라인 랜섬웨어 공격의 주범으로 지목했으며, 이로 인해 미국 [3][12][23]동부 해안지역에 45%의 연료를 공급하는 메인 파이프라인이 자발적으로 폐쇄되었다.이번 공격은 미국의 중요 [1]인프라에 대한 사상 최악의 사이버 공격으로 묘사되었다.DarkSide는 콜로니얼 [16]파이프라인에서 약 75비트코인(약 500만 달러)을 탈취하는 데 성공했다.미국 관리들은 이번 공격이 순전히 범죄적인 것인지 아니면 러시아 정부나 다른 [12]국가 후원자의 개입으로 이루어졌는지 조사하고 있다.공격 이후 다크사이드는 성명을 내고 "우리는 비정치적이며 지정학에 참여하지 않는다.우리의 목표는 돈을 버는 것이지 [12]사회에 문제를 일으키지 않는 것입니다.

2021년 5월 FBI와 사이버보안인프라 보안국은 중요한 인프라의 소유자와 운영자에게 다크사이드 랜섬웨어와 [6]랜섬웨어 전반에 대한 취약성을 줄이기 위한 특정 조치를 취할 것을 촉구하는 공동 경보를 발령했다.

2021년 5월 14일, 사이버 보안 회사인 Recorded Future, FireEye 및 Intel 471에 의해 입수되고 월스트리트 저널뉴욕 타임즈가 보도한 러시아어 성명에서 다크사이드는 "미국의 압력 때문에" 운영을 중단하고 갱의 "중간 프로그램"을 폐쇄하고 있다고 밝혔다.측면은 [16][24]해킹에 협력합니다).구체적인 '압박'은 명확하지 않지만 전날 조 바이든 미국 대통령은 다크사이드에 대해 미국이 [16]'작전능력 교란'을 위해 조치를 취할 것임을 시사했다.다크사이드는 결제 서버, 블로그, 불특정 [16]계좌로 인출된 펀드에 대한 접근권을 상실했다고 주장했다.사이버 보안 전문가들은 다크사이드가 해체되었다는 주장은 [16]정밀 조사를 피하기 위한 계략일 수도 있고, [24]다른 이름으로 해킹 활동을 재개하도록 허용할 수도 있다고 경고했다.사이버 범죄 네트워크가 이런 식으로 [16]폐쇄되고, 부활하고, 브랜드를 바꾸는 것은 흔한 일입니다.

아젠스프랑스 프레세 기자들은 다크사이드 서버와 자금 손실을 상세히 기록한 '미래의 기록' 보고서가 공격작전에 [25]관여하는 미 육군 사이버전단인 제780정보여단의 트위터 계정을 통해 리트윗된 사실을 발견했다.

레퍼런스

  1. ^ a b c "Who are DarkSide, the 'Robin Hood' criminal gang blamed for shutting down one of the biggest fuel pipelines?". www.abc.net.au. May 9, 2021. Retrieved May 10, 2021.
  2. ^ a b Dedenok, Roman (May 10, 2021). "DarkSide leaks shows how ransomware is becoming an industry". Kaspersky Daily. AO Kaspersky Lab.
  3. ^ a b c 더스틴 볼츠, 미국 월스트리트저널 2021년 5월 10일자 콜로니얼 파이프라인 해킹 범죄집단
  4. ^ a b c d e Charlie Osborne, 연구원은 DarkSide 랜섬웨어 서비스 ZDNet의 5개 계열사를 추적합니다(2021년 5월 12일).
  5. ^ a b Chris Nuttall, DarkSide의 랜섬웨어 as a Service, Financial Times ( 2021년 5월 10일)
  6. ^ a b c d 경고(AA21-131A): 다크사이드 랜섬웨어: 랜섬웨어 공격, 사이버 보안 및 인프라스트럭처 보안국/연방수사국(Federal Bureau of Investigation)에 의한 비즈니스 중단을 방지하기 위한 베스트 프랙티스(2021년 5월 11일, 2021년 5월 12일 최종 개정)
  7. ^ Javers, Eamon (May 10, 2021). "Here's the hacking group responsible for the Colonial Pipeline shutdown". CNBC. Retrieved May 21, 2021.
  8. ^ a b c Nicolas Rivero, 해킹 집단 DarkSide는 국가의 허가를 받은 해적 Quartz ( 2021년 5월 10일)입니다.
  9. ^ Cybe reason vs. 다크사이드 랜섬웨어, Cybereason ( 2021년 4월 1일)
  10. ^ a b "Shining a Light on DARKSIDE Ransomware Operations Mandiant".
  11. ^ Muncaster, Phil (March 12, 2021). "Darkside 2.0 Ransomware Promises Fastest Ever Encryption Speeds". Infosecurity Magazine. Retrieved May 21, 2021.
  12. ^ a b c d e 데이비드 E.생거 & 니콜 펄로스, FBI 파이프라인 해킹의 배후 그룹 특정(2021년 5월 10일자)
  13. ^ a b 다크사이드 랜섬웨어와 미국의 파이프라인 공격에 대해 우리알고 있는 것, 트렌드 마이크로 리서치(2021년 5월 14일).
  14. ^ 위협 프로파일: DarkSide Randomware, MVISION Insights, McAfee.
  15. ^ a b c d e f g h i j "Case study: Darkside Ransomware does not attack hospitals, schools and governments". Acronis. Retrieved May 15, 2021.
  16. ^ a b c d e f g h i 마이클 슈비츠와 니콜 펄로스, 다크사이드, 가스관 공격의 원인이라고 뉴욕타임스(2021년 5월 14일)는 말합니다.
  17. ^ "Mysterious 'Robin Hood' hackers donating stolen money". BBC News. October 19, 2020. Retrieved May 10, 2021.
  18. ^ "Cybereason vs. DarkSide Ransomware". www.cybereason.com. April 1, 2021. Archived from the original on April 1, 2021. Retrieved June 10, 2021.
  19. ^ Tidy, Joe (October 19, 2020). "Mysterious 'Robin Hood' hackers donating stolen money". BBC News. Retrieved June 10, 2021.
  20. ^ Immanni, Manikanta (March 28, 2021). "Ransomware Attack on CompuCom Costs Over $20 Million in Restoration Expenses". TechDator. Retrieved May 14, 2021.
  21. ^ Benoit Overstraeten & Makiko Yamazaki, 도시바 유닛, 다크사이드에 의해 해킹되어 전략적인 재검토를 받고 있는 대기업, 로이터 통신(2021년 5월 14일).
  22. ^ "DarkSide Ransomware has Netted Over $90 million in Bitcoin". Elliptic. Retrieved May 20, 2021.
  23. ^ Ellen Nakashima, Yeganeh Torbati & Will Englund, 랜섬웨어 공격은 미국 주요 파이프라인 시스템인 워싱턴 포스트의 폐쇄로 이어진다.
  24. ^ a b Robert McMillan & Dustin Volz, 콜로니얼 파이프라인 해커 DarkSide, Wall Street Journal, 2021년 5월 14일 폐쇄 예정
  25. ^ "Servers of Colonial Pipeline hacker Darkside forced down: security firm". AFP. Retrieved May 25, 2021.