【darkside】专题近距离了解DarkSide勒索软件帮派

FBI本周证实，由较新的恐吓小组DARKSIDE负责的攻击殖民地管道关闭5550英里管道、搁浅汽油、柴油和喷气燃料的无数桶墨西哥湾沿岸。

这是对DarkSide网络犯罪团伙的仔细观察，从他们与最近一位年收入150亿美元的美国受害人的谈判中可以看出。

为了响应勒索软件事件，Colonial Pipeline已关闭了5500英里的加油管。图片：col

总部位于纽约的网络情报公司Flashpoint表示，其分析师以中等程度的信心评估该攻击的目的不是破坏国家基础设施，而只是与具有支持大笔资金的目标有关。

“这与DarkSide的早期活动是一致的，其中包括几次'大猎杀'攻击，攻击者将目标锁定在一个可能拥有财务手段来支付攻击者所要求的赎金的组织上。” Flashpoint观察到。

为了回应公众对殖民地管道袭击的关注，DarkSide小组试图减轻人们对广泛的基础设施袭击持续进行的担忧。

“我们是不政治的，我们不参与地缘政治，不需要将我们与既定的政府联系在一起，也不需要寻找其他动机（原文如此），” DarkSide Leaks博客的更新读到。“我们的目标是赚钱，而不是给社会造成问题。从今天开始，我们开始进行审核，并检查每家公司我们的合作伙伴都希望对其进行加密以避免将来产生社会后果。”

2020年8月，DarkSide首次在俄语黑客论坛上露面，这是一个勒索软件即服务平台，经过审查的网络犯罪分子可以使用勒索软件感染公司并与受害者进行谈判和付款。DarkSide表示，它仅针对大公司，并禁止分支机构将勒索软件投放到多个行业的组织中，包括医疗保健，fun仪服务，教育，公共部门和非营利组织。

像其他勒索软件平台一样，DarkSide遵循当前的双重勒索最佳实践，其中包括要求分别提供用于解锁任何文件和服务器所需的数字密钥的总和，以及要求单独的赎金以换取销毁从其上窃取的任何数据的承诺。受害者。

在发布之初，DarkSide试图通过宣传受害者数据泄漏站点来吸引竞争的勒索软件程序的会员，该站点获得“稳定的访问和媒体报道”，并具有分阶段发布受害者数据的能力。在“为什么选择我们？”下 勒索软件程序线程的标题，管理员回答：

DarkSide勒索软件组的广告。

“我们目标的高度信任。他们付钱给我们，知道他们将要收到解密工具。他们也知道我们下载数据。大量数据。这就是为什么我们的受害者支付赎金的比例如此之高，而谈判所需的时间却如此之短。”

3月下旬，DarkSide引入了“呼叫服务”创新，该创新已集成到会员的管理面板中，使会员能够安排呼叫，迫使受害人直接从管理面板支付赎金。

4月中旬，勒索软件计划宣布了新的功能，使会员可以在勒索谈判期间需要增加压力时对目标发动分布式拒绝服务（DDoS）攻击。

DarkSide还在广告中表示愿意出售有关即将到来的受害者的信息，然后再将他们的失窃信息发布在DarkSide受害者羞辱博客上，以便有进取心的投资诈骗者可以在新闻发布之前做空该公司的股票。

“现在，我们的团队和合作伙伴可以加密许多在纳斯达克和其他证券交易所交易的公司，” DarkSide解释说。“如果公司拒绝付款，我们准备在发布之前提供信息，以便有可能获得股票的减价。在“与我们联系”中给我们写信，我们将为您提供详细信息。”

DarkSide还在上个月再次开始招募新的会员-主要是寻找网络渗透测试人员，他们可以帮助将一台受损的计算机转变为全面的数据泄露和勒索软件事件。

DarkSide招聘信息的某些部分，从俄语翻译而来。

DarkSide解释说：“与其他项目相比（根据对公开信息的分析判断），我们在客户群方面已取得了显着增长，因此我们准备在两个领域中壮大我们的团队和许多分支机构。” 广告继续：

“网络渗透测试。我们正在寻找一个人或一个团队。我们将使您适应工作环境并提供工作。高利润削减，能够定位您无法自行处理的网络。新的经验和稳定的收入。当您使用我们的产品并支付了赎金时，我们保证公平分配资金。用于监视目标结果的面板。我们仅接受您打算运行有效负载的网络。”

DarkSide已证明自己对拥有大量资金的受害公司相当无情，但可以对此进行推理。网络安全情报公司Intel 471观察到DarkSide船员与一家价值150亿美元的美国受害人公司进行了谈判，该公司在2021年1月受到3000万美元的赎金要求打击，在此事件中，受害人为谈判降低付款的努力最终减少了赎金近三分之二。

DarkSide勒索软件说明。

DarkSide与受害人之间的第一次交换涉及通常的来回建立信任，其中受害人要求保证所窃取的数据在付款后将被删除。

当受害人还价仅需支付225万美元时，DarkSide做出了冗长而具有讽刺意味的答复，最终同意将赎金要求降低至2870万美元。

骗子回答说：“它的计时器开始计时，在接下来的8小时内，您的价格将升至6,000万美元。” “所以，这是您的选择，首先接受我们的慷慨报价，并付给我们287.5亿美元，或者在量子计算上投入一些资金，以加快解密过程。”

受害人抱怨说，谈判并没有使价格有太大变化，但DarkSide反对该公司可以轻松负担这笔款项。他们写道：“我不这么认为。” “如果你不适应，你就不穷，也不是孩子，你必须承担后果。”

受害者公司在一天后答复说，他们已经有权支付475万美元，而他们的折磨者同意将需求大幅度降低至1200万美元。

图片：英特尔471。

受害者回答说，这仍然是一笔不小的数目，如果它同意支付1200万美元，它将试图从勒索软件组织获得其他保证，例如同意不再以该公司为目标或允许任何人访问其被盗的协议。数据。受害人还试图让攻击者在支付全部赎金要求之前交出解密密钥。

图片：英特尔471。

犯罪团伙回应说，它自己的规则禁止它在全额付款之前放弃解密密钥，但他们同意其余条款。

图片：英特尔471。

受害者公司同意支付1100万美元的赎金，勒索者也表示同意，并承诺今后不会攻击或帮助其他任何人攻击公司的网络。

图片：英特尔471

Flashpoint评估了DarkSide背后的至少一些罪犯是从另一个名为“ REvil ”（又名“ Sodinokibi”）的勒索软件中获胜的（尽管Flashpoint将此发现仅评定为“中等”信心）。REvil被普遍认为是GandCrab的较新名称，GandCrab是一种勒索软件即服务产品，在吹嘘勒索超过20亿美元后于2019年关闭。

专家说，除非采取某种措施来破坏骗子为此类犯罪获得报酬的能力，否则勒索软件攻击的复杂性，频率和成本将继续增长。根据Coveware去年年底的一份报告，2020年第三季度的平均勒索软件付款为233,817美元，比去年第二季度增长31％。安全公司Emsisoft发现，到2020年，将近2,400个美国政府，医疗机构和学校成为勒索软件的受害者。

上个月，一群高科技行业的重量级人物将他们的特质带给了一个工作组，该工作组向拜登政府递交了长达81页的报告，介绍了如何阻止勒索软件行业。在许多其他建议中，该报告敦促白宫在美国情报界内将发现，挫败和逮捕勒索软件骗局列为优先事项，并将当前的数字勒索祸害定为国家安全威胁