Colonial Pipeline este lovita de un atac ransomware devastator. Dezvaluiri asupra modului de actionare DarkSide

In ultimele doua saptamani, intreaga comunitate de securitate cibernetica a pivotat in jurul ataculului ransomware Colonial Pipeline. Este unul dintre cele mai notabile atacuri asupra infrastructurii critice din ultimii ani si a avut un impact direct si indirect asupra mai multor industrii din economia SUA. Din fericire, operatiunile sunt in functiune dupa o intrerupere de aproximativ o saptamana si plata unei rascumparari de 5 milioane de dolari.
DarkSide, Ransomware as a Service (RaaS) desfasurat impotriva Colonial Pipeline este un bun exemplu de malware similar care ataca organizatiile din intreaga lume. Pregatit si executat cu atentie, DarkSide foloseste o combinatie de tehnici – inclusiv criptare si anti-detectare, pentru a extorca cu succes victimele.
Cercetatorul de securitate Nozomi Networks Labs, Alexey Kleymenov, a examinat executabilul DarkSide si dezvaluie modul in care codul masinii poate duce la consecinte devastatoare in lumea fizica.
Programul malware colecteaza mai intai informatii de baza despre sistemele informatice ale victimei sale pentru a afla detaliile mediului tehnic. In plus, omite victimele din anumite regiuni geografice, verificand limba utilizata de sistemele lor (DarkSide nu ataca sistemele care utilizeaza rusa sau alte limbi din Europa de Est). In continuare, DarkSide determina ce fisiere sa cripteze. Daca malware-ul incearca sa cripteze toate fisierele disponibile pe sistem, acesta il face rapid inutilizabil – si lasa victima fara informatii despre modul in care contacteaza atacatorii. In plus, este nevoie de mult mai mult timp pentru a efectua criptarea decat este necesar in scopul executarii atacului. DarkSide este deosebit de selectiv cu privire la ce fisiere cripteaza, selectandu-le in principal prin examinarea directoarelor de fisiere, numele fisierelor si extensiile de fisiere.
Pentru a ramane anonim si a preveni oprirea prompta, site-urile web pentru contactarea actorilor atacurilor ransomware sunt gazduite in reteaua Tor. Pentru a ramane nedetectat pana la impactul sistemelor victimei, DarkSide incorporeaza diverse tehnici utilizate anti-detectare.

Autocriptare

Majoritatea sirurilor critice ale Darkside sunt criptate pentru a evita detectarea. Din acelasi motiv, configuratia principala a malware-ului este de asemenea criptata. Este comprimat cu aPLib, cu valori de configurare individuale codate cu un algoritm Base64.

Prevenirea restaurarii datelor

Daca administratorii de sistem ar putea restabili rapid si usor datele afectate fara a plati bani infractorilor, atacurile ransomware nu ar avea succes. Autorii DarkSide incorporeaza mai multe tehnici pentru a se asigura ca rascumpararea este platita.

Gestionarea copiilor de rezerva

Ransomware se asigura ca solutiile standard de backup sunt inutilizabile pe masinile vizate. Windows are o caracteristica numita Shadow Copy, menita sa faca fata unor astfel de situatii. Permite crearea copiilor de rezerva ale fisierelor computerului, astfel incat acestea sa poata fi restaurate atunci cand este necesar. Principala limitare a acestei abordari este ca fisierele de rezerva sunt stocate pe acelasi sistem ca si fisierele originale. Daca malware-ul compromite sistemul, fisierele de rezerva sunt sterse cu usurinta. In plus, programele malware pot cauta copii de rezerva dupa nume: In cele din urma, DarkSide incearca sa dezactiveze diverse solutii de rezerva, cautandu-le dupa nume.

Utilizarea corecta a criptarii simetrice si asimetrice

Primele generatii de ransomware nu aveau o criptare adecvata, ceea ce a facut posibil ca victimele sa recupereze gratuit fisiere. Din pacate, acele zile au disparut de mult, noile malware moderne nu mai repeta aceasta greseala.
Principala diferenta este acum ca criptarea simetrica a fost imbunatatita cu utilizarea focalizata a criptarii asimetrice. Primul foloseste aceeasi cheie secreta atat pentru criptarea, cat si pentru decriptarea datelor, prin urmare interceptarea acestora este suficienta pentru a restabili accesul la date.
Pe de alta parte, criptarea asimetrica foloseste o notiune de chei private si publice. In timp ce criptarea se face folosind o cheie publica, decriptarea este imposibila fara o cheie privata. Programele malware DarkSide implementeaza corect aceasta functionalitate, incorporand doar cheia publica in malware si pastrand cheia privata confidentiala.

DarkSide demonstreaza tehnici moderne de ransomware

DarkSide este doar un exemplu al familiilor moderne de ransomware care combina mai multe tehnici testate in timp pentru a-si atinge obiectivul. De asemenea, evidentiaza eficacitatea modelului RaaS, care castiga popularitate. Cu RaaS, scriitorii experimentati de malware se concentreaza asupra dezvoltarii codului de baza ransomware, lasand implementarea afiliatilor care se specializeaza in accesul la retelele companiilor vizate. In cazul DarkSide, se estimeaza ca cele peste 40 de victime ale acestora au platit 90 milioane dolari in bitcoin, 15,5 milioane dolari fiind pentru grupul de dezvoltare si 74,7 milioane dolari pentru afiliatii sai.
Expertul in securitate Nozomi Networks, Chris Grove, si cercetatorul in securitate Labs, Ivan Speziale, exploreaza modul in care s-a intamplat atacul, cine era in spatele acestuia si ce ar trebui facut. Puteti urmari acum webinarul on-demand  Demystifying the Colonial Pipeline Attack & How Ransomware Works (on24.com)