Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能和经济实惠的服务。众多全球企业信赖 Akamai,凭借我们行业领先的可靠性、扩展性和专业技术,企业能够从容拓展业务。
DarkSide 勒索软件是一种恶意软件,它会对服务器和设备上的文件进行加密,让攻击者能够以解密密钥相要挟,向受害者索要赎金。DarkSide 勒索软件操纵者以采用双重勒索手段而臭名昭著:除了索要文件解密赎金之外,他们还会窃取敏感数据,并威胁在受害企业拒绝支付赎金的情况下公开被盗数据。
DarkSide 还以勒索软件即服务 (RaaS) 业务模式运作,在这种模式下,勒索软件操纵者将勒索软件租赁给其他网络犯罪分子(称为关联攻击者)使用,并从赎金中抽取分成。
An example of a DarkSide ransomware notice that appears on victims’ computer screens
DarkSide 勒索软件的操纵者是谁?
DarkSide 勒索软件由 DarkSide 黑客团伙运作,这是一家在全球范围内开展业务的网络犯罪企业。众所周知,DarkSide 团伙公开表示他们专挑盈利丰厚的大型企业和关键基础设施下手,而不会攻击医疗、教育或政府部门等非营利机构。
据信,DarkSide 团伙具有俄罗斯或东欧背景,但普遍认为它是一个牟利性犯罪组织,而非国家支持的黑客团伙。由于 DarkSide 使用的代码与 REvil 勒索软件使用的软件相似,因此安全专家推测 DarkSide 可能是 REvil 的分支或关联组织。
DarkSide 勒索软件的发展史
DarkSide 勒索软件团伙在 2020 年 8 月前后出现,专门针对高知名度的目标发起复杂攻击。该团伙于 2021 年 11 月开始以服务形式提供其勒索软件,并于 2021 年 3 月发布了 2.0 版。
2021 年 5 月,DarkSide 团伙声称因美国政府施压,将结束其运营以及 RaaS 关联计划。但安全专家指出,该团伙可能只是换了个名字,继续开展其黑客活动。2022 年 4 月,FBI 发布安全通告指出,多名与 BlackCat 勒索软件相关的人员与 DarkSide 存在关联,暗示 BlackCat 勒索软件变体可能是 DarkSide 的改版。
DarkSide 勒索软件如何传播?
与许多其他类型的勒索软件不同,DarkSide 变体通常不会使用网络钓鱼或鱼叉式网络钓鱼手段,而主要是通过远程桌面协议 (RDP) 利用 Windows 和 Linux 操作系统中的漏洞来获取初始访问权限。DarkSide 还可以通过利用低强度密码、配置不当的防火墙及缺乏强身份验证控制措施来获取访问权限。
DarkSide 勒索软件是怎样运作的?
在成功访问 IT 网络后,DarkSide 攻击者会执行一系列步骤来扩大攻击影响。
- 命令和控制:DarkSide 勒索软件攻击通常通过在 443 端口上运行并通过 Tor 路由的 RDP 客户端来实施命令和控制。攻击者还可能将 Cobalt Strike 用作辅助攻击机制。
- 凭据窃取:攻击者会提升特权以窃取凭据,从而获得对网络其他部分的访问权限。
- 文件删除:DarkSide 勒索软件会删除计算机上文件的卷影副本,使受害企业无法通过还原这些副本来轻松恢复访问权限。
- 规避:DarkSide 攻击者会采取特定的措施来规避可能进行的检测,包括删除注册表项、停止事件记录进程或者干扰安全扫描工具。
- 侦察:黑客通过在已入侵网络中实施横向移动来确定拥有敏感信息的高价值目标。
- 加密:DarkSide 黑客只有在摸清环境并窃取敏感数据后才会对文件进行加密。该勒索软件代码通过众所周知的后门进行传播,攻击载荷包含可执行文件、独特的文件扩展名以及使企业能够在 DarkSide 网站上支付赎金的唯一受害者 ID。有了这些唯一标识符,勒索软件便能规避由基于签名的系统进行的检测。
- 赎金通知:DarkSide 通过 Tor 网络以匿名方式与受害者进行通信,并管理以比特币支付的赎金。索要赎金从 20 万美元到 2 千万美元不等。
著名的 DarkSide 勒索软件网络攻击
对于 DarkSide 勒索软件,非常引人注目的攻击事件当属 2021 年 5 月对 Colonial Pipeline 发起的攻击。此次攻击导致大规模运营中断,进而引发美国东海岸大部分地区出现燃料短缺。其他备受瞩目的攻击事件包括对 IT 托管服务提供商 CompuCom、德国化学品分销公司 Brenntag 和东芝泰格法国公司发起的攻击。
抵御 DarkSide 勒索软件攻击
防范 DarkSide 勒索软件攻击需要采用包含以下要素的多层安全方法:
- 针对操作系统和软件的定期更新和补丁,以修复漏洞
- 稳健的分段、防病毒软件和反恶意软件、入侵防御系统 (IPS) 以及其他网络安全工具,它们均由最新的威胁情报提供信息
- 多重身份验证 (MFA),用于验证对 IT 网络进行的远程访问
- 电子邮件过滤,可防止包含可执行文件的邮件送达最终用户
- 网络过滤,可阻止与已知恶意 IP 地址的通信
- 端点安全,可检测并清除设备上的勒索软件感染
- 安全意识培训,可帮助用户识别勒索软件迹象
- 经常备份重要数据,进行离线存储以避免感染
- 采用最佳实践,这些最佳实践由 CIS 和 MITRE 等网络安全信息组织提供
删除 DarkSide 代码
要删除 DarkSide 勒索软件,需要制定全面的事件响应计划。措施包括:
- 隔离受感染的系统,防止恶意软件传播到其他服务器和设备
- 使用网络安全工具识别并删除勒索软件的组件
- 从备份中恢复受影响的加密文件
- 联系 FBI 等执法机构
常见问题
DarkSide 勒索软件是一种恶意软件,由据信位于俄罗斯的 DarkSide 网络犯罪团伙运作。该团伙入侵大型企业的 IT 环境,窃取高价值信息和敏感信息,并对服务器和计算机上的文件进行加密。随后,该团伙会以解密密钥相要挟并承诺不在网上泄露敏感文件,向受害者索要赎金。
勒索软件即服务 (RaaS) 是一种网络犯罪模式,在这种模式下,勒索软件开发者可让其他黑客使用其代码发起攻击,并从赎金中抽取分成。借助 RaaS,对勒索软件不甚了解的犯罪分子也能发起收益丰厚的复杂攻击。