新型定制勒索軟件勒索金額達數百萬美元

最新消息：本月初，一個名為DarkSide的新勒索軟件操作開始通過自定義攻擊攻擊組織，這些攻擊已使他們獲得了數百萬美元的報酬。但是，關鍵在于：DarkSide為他們攻擊的公司定制了可執行的勒索軟件。

安全研究人員稱：“從2020年8月10日開始，新的勒索軟件業務開始對眾多公司進行有針對性的攻擊。在找不到適合他們需求的“產品”時，他們自己設計了特需的攻擊軟件。

DarkSide指出，它們只針對能夠支付贖金的公司，因為它們“不希望殺死您的公司”。攻擊者還表示，它們不針對以下類型的組織。

• 醫學（醫院，招待所）。
• 教育（學校，大學）。
• 非營利組織。
• 政府部門。

現在還不能確定他們是否會遵守這一說法。從BleepingComputer看到的受害者中，DarkSide的贖金要求從200,000美元到2,000,000美元不等。這些數字或多或少取決于受害者。
BleepingComputer看到的至少一名受害者似乎已支付了一百萬美元以上的贖金。

DarkSide會在加密受害者之前竊取數據

像其他人為操作的勒索軟件攻擊一樣，當DarkSide操作員破壞網絡時，它們將在網絡中橫向傳播，直到獲得對管理員帳戶和Windows域控制器的訪問權限為止。當它們橫向傳播時，攻擊者將從受害者的服務器中收集未加密的數據，并將其上傳到他們自己的設備中。

然后，這些被竊取的數據將在其控制下發布到數據泄漏站點，并被用作勒索企圖的一部分。當數據發布到泄漏站點時，威脅參與者將列出公司名稱，泄露日期，被竊取多少數據，數據的屏幕快照以及被竊數據的類型。

旨在嚇唬人的敲詐勒索策略，即使您有備份

DarkSide聲明，如果受害者不付款，他們將在其網站上發布所有數據至少六個月。這種勒索策略旨在嚇to受害者支付贖金，即使受害者可以從備份中恢復過來也是如此。如果受害者支付贖金，DarkSide聲明他們將從其泄漏站點中刪除被盜的數據。對于已支付贖金的受害者，其數據已從站點中刪除。

定制勒索軟件攻擊

在執行攻擊時，Darkside將為他們攻擊的特定公司創建可執行的自定義勒索軟件。執行時，勒索軟件將執行PowerShell命令，該命令將刪除系統上的卷Shadow Volume Copies，使其不能用于恢復文件。

根據Advanced Intel的Vitali Kremz的說法，然后它會終止各種數據庫、辦公應用程序和郵件客戶端，為機器加密做好準備。加密計算機時，Darkside將避免終止某些進程。

特別避免使用TeamViewer的情況并不常見，如果曾與勒索軟件一起出現過，則可能表示威脅行為者正在使用TeamViewer對計算機進行遠程訪問。Michael Gillespie分析了加密過程,他告訴BleepingComputer
勒索軟件利用SALSA20密鑰對文件進行加密。
然后使用可執行文件中包含的公共RSA-1024密鑰對該密鑰進行加密。
每個受害者還將使用受害者MAC地址的自定義校驗和創建自定義擴展。
每個可執行文件都被定制為包括個性化的“歡迎來到黑暗”贖金紙條，其中將包括被盜的數據量、數據類型以及指向他們在數據泄露站點上的數據的鏈接。
此時，勒索軟件看起來牢不可破，沒有辦法免費恢復文件。
可能與REvil相關

在分析DarkSide時，發現它與REvil勒索軟件有一些相似之處。最明顯的相似之處是贖金票據，它使用幾乎相同的模板，如下面的REvil贖金票據所示。在BleepingComputer對DarkSide的行為分析中，我們注意到它在首次執行時將執行編碼的PowerShell腳本。最后，MalwareHunterTeam發現DarkSide故意避免感染獨聯體國家的受害者。用于執行此操作的代碼類似于REvil和GandCrab中使用的代碼。