Le groupe de hackers DarkSide fournit des rançongiciels en tant que service, et on pense qu’il est responsable de la cyberattaque Colonial Pipeline, le plus grand gazoduc américain, qui a été temporairement arrêté ses opérations pendant plusieurs jours en raison de l’attaque.

DarkSide est l’un des nombreux groupes d’extorqueurs numériques de plus en plus professionnalisés.

Groupe DarkSide

DarkSide est un ransomware-as-a-service (RaaS) et offre à ses affiliés un pourcentage des bénéfices.

Il présente un exemple de rançongiciel moderne, fonctionnant avec un modèle commercial plus avancé. Ces attaques de rançongiciels modernes sont généralement menées par plusieurs groupes qui collaborent et se partagent les bénéfices.

On pense que le groupe DarkSide est basé en Europe de l’Est, probablement en Russie. Contrairement à d’autres groupes de piratage responsables de cybercrimes de grande envergure, on ne pense pas qu’il soit parrainé par l’État.

Les experts dans le domaine qui ont suivi les activités de DarkSide ont déclaré qu’il semble être composé de cybercriminels vétérans dont l’objectif est de gagner de l’argent avec leurs cibles.

« Ils sont très nouveaux mais ils sont très organisés », a déclaré Lior Div, directeur général de la société de sécurité Cybereason basée à Boston.

Leur site sur le dark web fait allusion à leurs crimes passés, affirmant qu’ils avaient auparavant gagné des millions grâce à l’extorsion. Il présente également une galerie de style Hall of Shame de données divulguées de victimes qui n’ont pas payé leur rançon, divulguant des documents volés de plus de 100 entreprises à travers les États-Unis et l’Europe.

Cibles

Sur la base des sites de fuite Tor du groupe, le groupe DarkSide détermine s’il doit poursuivre une cible en examinant ses dossiers financiers. Les informations financières recueillies sont également utilisées pour déterminer le montant de la rançon à exiger, une rançon typique pouvant se situer entre 200 000 et 2 millions de dollars américains.

Selon les rapports de Trend Micro, le pays le plus ciblé, avec plus de 500 détections, était les États-Unis, suivis de la Belgique, de la France et du Canada. Aussi, selon McAfee, les pays les plus attaqués en termes de nombre d’appareils touchés par million d’appareils sont Israël avec 1573,28, la Malaisie avec 130,99, la Belgique avec 106,93, etc., la liste se compose de 25 pays touchés qui comprend également des pays comme l’Italie , l’Ukraine et le Pérou.

Notamment, le groupe évite de victimiser les entreprises des pays de la Communauté des États indépendants (CEI) en utilisant une partie de leur code d’exécution de ransomware qui vérifie la géolocalisation des victimes potentielles. Cela pourrait être un indice sur l’endroit où résident les criminels de DarkSide. De plus, ils ne ciblent pas les écoles, les organisations à but non lucratif et les centres de santé.

En juin 2021, sur la base des sites divulgués, il y avait au moins 90 victimes touchées par les attaques DarkSide. Au total, plus de 2 To de données volées sont actuellement hébergées sur les sites DarkSide et 100 % des fichiers volés des victimes sont divulgués.

Historique des attentats

La chronologie de l’activité de DarkSide est compilée à partir de rapports accessibles au public :

Août 2020 : DarkSide présente son ransomware.
Octobre 2020 : DarkSide fait don de 20 000 USD volés aux victimes à des œuvres caritatives.
Novembre 2020 : DarkSide établit son modèle RaaS. Le groupe invite d’autres criminels à utiliser son service. Un site de fuite de données DarkSide est découvert plus tard.
Novembre 2020 : DarkSide lance son réseau de diffusion de contenu (CDN) pour stocker et diffuser des données compromises.
Décembre 2020 : Un acteur de DarkSide invite les médias et les organisations de récupération de données à suivre le centre de presse du groupe sur le site public de fuite.
Mars 2021 : DarkSide publie la version 2.0 de son rançongiciel avec plusieurs mises à jour.
Mai 2021 : DarkSide lance l’attaque Colonial Pipeline.
L’attaque contre le Colonial Pipeline était sans précédent à l’époque car elle a entraîné l’arrêt temporaire de ses opérations pendant plusieurs jours du plus grand gazoduc américain. Le Colonial Pipeline était le principal pipeline fournissant 45% de carburant à la côte Est des États-Unis.

DarkSide a extorqué avec succès environ 75 Bitcoins (environ 5 millions de dollars américains à l’époque). Après l’attaque, Darkside annonce qu’il est apolitique et commencera à contrôler ses cibles (peut-être pour éviter d’attirer l’attention sur de futures attaques).

Mécanisme des attaques – ransomware

Le groupe utilise des outils communs et légitimes (Cobalt Strike, Mimikatz, Metasploit, etc.) tout au long du processus d’attaque pour ne pas être détecté.

Accès initial

Pour obtenir un accès initial, le groupe utilise diverses tactiques telles que le phishing, l’abus de protocole de bureau à distance et l’exploitation de vulnérabilités connues.

Tout au long des phases de reconnaissance et d’entrée, plusieurs outils sont utilisés à des fins spécifiques :

PowerShell : pour la reconnaissance et la persistance
Framework Metasploit : pour la reconnaissance
Mimikatz : pour la reconnaissance
BloodHound : pour la reconnaissance
Cobalt Strike : pour l’installation

Déplacement latéral et élévation des privilèges

En général, il s’agit d’une phase de découverte clé dans le processus de ransomware moderne où l’objectif est d’identifier toutes les données critiques (cibles de fichiers, emplacements pour l’exfiltration et processus de cryptage) au sein de l’organisation des victimes.

L’objectif des acteurs de la menace DarkSide dans le mouvement latéral est d’accéder au contrôleur de domaine (DC) ou à Active Directory, qui seront utilisés pour voler les informations d’identification, élever les privilèges et tout autre actif précieux pour l’exfiltration.

Finalement, utiliser le partage réseau DC pour déployer le ransomware sur les appareils connectés.

Exfiltration de données

C’est la dernière étape avant que le ransomware ne soit déposé sur le système.

Il s’agit de l’étape la plus risquée du processus d’exécution du ransomware. C’est pourquoi l’exfiltration de données est plus susceptible d’alerter le service de sécurité de l’organisation victime.

Outils utilisés par DarkSide pour l’exfiltration de données :

7-Zip : un utilitaire utilisé pour archiver des fichiers en vue d’une exfiltration
Rclone et Mega client : outils utilisés pour exfiltrer des fichiers vers le stockage cloud
PuTTy : une application alternative utilisée pour le transfert de fichiers en réseau
Les attaquants utilisent ensuite divers sites de fuite sur le réseau Tor pour héberger les données volées.

Exécution

Le ransomware est alors exécuté et effectue diverses actions. Il vérifie que la victime ne se trouve pas dans un pays de la CEI, stocke la note de rançon et exécute une commande PowerShell pour s’installer et fonctionner tout en supprimant les clichés instantanés du réseau.

Il utilise deux techniques de chiffrement en fonction du système d’exploitation des cibles (Linux ou Windows), un chiffrement de flux ChaCha20 avec RSA-4096 pour Linux et un Salsa20 avec RSA-1024 pour les machines Windows.

Un exemple de note de rançon du ransomware de DarkSide :

Conséquences

Après l’attaque du Colonial Pipeline, DarkSide a publié une déclaration sur l’un de ses sites de fuite précisant que le groupe ne souhaitait pas créer de problèmes pour la société et que son objectif était simplement de gagner de l’argent.

Après les attaques, le groupe est resté silencieux, probablement pour toute l’attention qu’il a causée, mais a probablement réapparu en tant que groupe qui s’appelait BlackMatter vers septembre 2021.

Depuis novembre 2021, le département d’État américain a offert une récompense pouvant aller jusqu’à 10 millions de dollars à toute personne disposant d’informations permettant d’identifier ou de localiser les membres de DarkSide et une récompense pouvant aller jusqu’à 5 millions de dollars pour les informations conduisant à l’arrestation ou à la condamnation de toute partie qui a tenté ou participé aux attaques du rançongiciel DarkSide.

Ces types d’attaques nous rappellent que les acteurs de la menace ont toujours une longueur d’avance en matière de cybersécurité. La sécurité offensive doit plus que jamais être mise en œuvre.

Les solutions de sécurité offensives consistent à tester votre entreprise contre de telles attaques.

Tester l’infrastructure de votre entreprise contre les attaques de rançongiciels et mettre en place des plans de sauvegarde sont des outils essentiels pour survivre dans la « jungle » Internet, où les pirates attendent de profiter de la moindre opportunité pour leur profit.

Références:

⦿ Who are DarkSide Hacker Group?

  ⦿ The US Puts a $10M Bounty on DarkSide Ransomware Hackers

  ⦿ Cyber attack on US fuel pipeline operator blamed on DarkSide, a ‘Robin Hood’ criminal gang

  ⦿ What We Know About the DarkSide Ransomware and the US Pipeline Attack – TrendMicro

  ⦿ DarkSide (hacker group) – Wikipedia

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.