DarkSide(ハッカーグループ)

ダークサイド
ダークサイド
目的サービスとしてのランサムウェア
地域
東欧
公用語
ロシア

DarkSideは、ロシアを拠点とすると思われるサイバー犯罪ハッキンググループで、ランサムウェア恐喝を使って被害者を狙っています。Colonial Pipelineのサイバー攻撃の背後にいると考えられています。[ 1 ] [ 2 ] [ 3 ] [ 4 ]このグループは、ランサムウェアをサービスとして提供しています。[ 4 ] [ 5 ] [ 6 ]

ダークサイド自体は非政治的であると主張している。[ 7 ]

ターゲット

DarkSideは東ヨーロッパ、おそらくロシアを拠点としていると考えられていますが、注目を集めたサイバー攻撃を行っている他のハッキンググループとは異なり、直接国家の支援を受けている(つまり、ロシアの諜報機関によって運営されている)とは考えられていません。[ 3 ] [ 8 ] DarkSideは、システムの言語設定をチェックすることで、特定の地理的な場所にある標的を回避します。除外リストには、現在の、以前の、または創設時のCIS加盟国の12か国の言語に加えて、シリア語、アラビア語が含まれています。[ 9 ]専門家は、このグループは「ロシアで増殖し、繁栄している多くの営利目的のランサムウェアグループの1つ」であり、少なくともロシア当局の暗黙の承認を得ていると述べています。ロシア当局は、外国の標的を攻撃する限り、この活動を容認しています。[ 8 ]ランサムウェアのインスタンスが構築されるときに、言語チェック機能を無効にすることができます。そのようなバージョンの1つが2021年5月に確認されました。[ 10 ]さらに、DarkSideは医療センター学校非営利団体を標的にしていません。[ 11 ]

DarkSideが使用するランサムウェアのコードは、別のハッキンググループであるREvilが使用するランサムウェアソフトウェアに似ています。REvilのコードは公開されていないため、DarkSideはREvilの分派[ 12 ]またはREvilのパートナーである可能性があります。[ 4 ] DarkSideとREvilは、同様の構造の身代金要求メモと同じコードを使用して、被害者が独立国家共同体(CIS)諸国に所在していないことを確認します。[ 13 ]

トレンドマイクロリサーチのデータによると、DarkSideの標的となっている国は圧倒的に米国で、500件以上の検出数を記録しており、フランスベルギーカナダがそれに続いている。[ 13 ]マカフィーが観測した25カ国のうち、 DarkSide攻撃による被害が最も大きかったのは、 100万台あたりの影響を受けたデバイス数で見ると、イスラエル(1573.28)、マレーシア(130.99) 、ベルギー(106.93)、チリ( 103.97 )、イタリア(95.91)、トルコ(66.82)、オーストリア(61.19)、ウクライナ(56.09)、ペルー(26.94)、米国(24.67)である。[ 14 ]

2021年6月現在、DarkSideは1社のデータのみを公開しており、公開されたデータの量は200GBを超えています。[ 15 ]

攻撃のメカニズム

DarkSideランサムウェアは、最初にCMSTPLUA COMインターフェースを使用してUACをバイパスします。 [ 15 ]

次に、ソフトウェアはLOG.{userid}.TXTというファイルを作成し、これがログファイルとして機能します。[ 15 ]ソフトウェアは、ごみ箱内のファイルを1つずつ削除し、特定のセキュリティおよびバックアップソフトウェアプログラムをアンインストールし、プロセスを終了してユーザーデータファイルへのアクセスを許可します。[ 15 ]暗号化プロセス中に、MACアドレスに基づいてユーザーIDが生成され、ファイル名に追加されます。ファイルデータはSalsa20とランダムに生成されたマトリックスキー(ハードコードされたRSAキーで暗号化され、ファイルに付加されます)で暗号化されます。[ 15 ]ただし、ソフトウェアは特定のフォルダー、ファイル、およびファイルタイプの暗号化を避けます。[ 15 ]

最後に、ランサムウェアはREADME.{userid}.TXTというタイトルの身代金要求メモを残し、ユーザーをTorのあるサイトにアクセスするように誘導します。このサイトでは、ユーザーに本人確認とビットコインまたはモネロを使った支払いを促します。[ 15 ]

ビジネスモデル

DarkSideは仲介ハッカー26c3weq(「アフィリエイト」)を利用している。[ 16 ]「ランサムウェア・アズ・ア・サービス」[ 4 ] [ 5 ] [ 6 ]を利用している。これは、DarkSideが「アフィリエイト」加入者(面接で選考された)にDarkSideが開発したランサムウェアへのアクセスを許可し、その見返りとして身代金の一部(50万ドル以下の身代金の場合は25%、500万ドル以上の身代金の場合は10%)をDarkSideに支払うというモデルである。[ 4 ]アフィリエイトには管理パネルへのアクセス権が与えられ、そこで特定の被害者向けのビルドを作成する。このパネルでは、各ランサムウェアビルドをある程度カスタマイズできる。ファイア・アイの子会社であるサイバーセキュリティ企業マンディアントは、ダークサイドRaaSプラットフォームのさまざまな関連会社を代表する可能性のある5つの脅威活動クラスターを記録し、そのうちの3つをUNC2628、UNC2659、UNC2465と呼んでいます。[ 10 ]

一部の研究者は、DarkSideのビジネスモデルはフランチャイズに匹敵すると主張しており、購入者はDarkSideのブランドを攻撃に利用できる可能性がある。さらに、DarkSideは高い専門性を持って活動していることが知られており、アナリストらは、このハッカーグループがウェブサイト上にプレスルーム、メーリングリスト、被害者ホットラインを開設していることを指摘している。[ 17 ]

歴史と攻撃

2020

このグループは2020年8月に初めて確認された。[ 15 ]サイバーセキュリティ企業カスペルスキーは、プロフェッショナルなウェブサイトとジャーナリストや暗号解読企業との提携を試みていることから、このグループを「エンタープライズ」と表現した。[ 2 ]このグループは「病院、学校、非営利団体、政府ではなく、高額の身代金を支払う余裕のある組織を標的にすることを好むと公に述べている。」[ 6 ]このグループは「ロビンフッド」のイメージを醸成しようとしており、身代金の一部を慈善団体に寄付したと主張している。[ 1 ] [ 18 ]ダークウェブの投稿で、このグループは2020年10月13日付でチルドレン・インターナショナルとウォーター・プロジェクトにそれぞれ0.88BTC  (当時1万ドル相当)を寄付した領収書を掲載した。チルドレン・インターナショナルは、この金を手元に残さないと述べた。[ 19 ] [ 20 ]

2020年から2021年

2020年12月から2021年5月までに、同グループが要求した身代金は20万米ドルから200万米ドルに及んだ。[ 15 ] [ 12 ] DarkSideは米国の石油・ガスインフラを4回攻撃した。[ 8 ] DarkSideランサムウェアは2021年3月にITマネージドサービスプロバイダーのCompuComを襲撃し、復旧費用に2000万米ドル以上の損害を与えた。また、Canadian Discount Car and Truck Rentals [ 21 ]東芝の子会社である東芝テックも攻撃した。 [ 22 ] DarkSideはドイツの企業Brenntagから金銭を脅迫した。[ 16 ]暗号通貨セキュリティ企業のEllipticは、 2021年3月にDarkSideが開設したビットコインウォレットに21のビットコインウォレットから1750万米ドル(コロニアル・パイプラインの身代金を含む)が振り込まれたと述べており、数ヶ月の間に受け取った身代金の額を示している。[ 16 ]エリプティックの分析によると、ダークサイドは少なくとも47人の被害者から総額9000万ドル以上の身代金を受け取った。平均身代金は190万ドルだった。[ 23 ]

2021

連邦捜査局(FBI)は、2021年5月7日に悪意のあるコードによって実行され、米国東海岸に燃料の45%を供給する主要パイプラインの自主的な停止につながったコロニアル・パイプライン・ランサムウェア攻撃の犯人としてダークサイドを特定した。[ 3 ] [ 12 ] [ 24 ]この攻撃は、米国の重要インフラに対するこれまでで最悪のサイバー攻撃とされている。[ 1 ]ダークサイドはコロニアル・パイプラインから約75ビットコイン(約500万ドル)を脅し取った。[ 16 ]米国当局は、この攻撃が純粋に犯罪行為であったか、ロシア政府または他の国家支援の関与を得て行われたかを捜査している。[ 12 ]攻撃後、ダークサイドは「我々は政治に関与しておらず、地政学にも参加していない。我々の目的は金儲けであり、社会に問題を引き起こすことではない」と主張する声明を投稿した。[ 12 ]

2021年5月、FBIとサイバーセキュリティ・インフラセキュリティ庁は共同で警告を発し、重要インフラの所有者と運営者に対し、ダークサイドランサムウェアやランサムウェア全般に対する脆弱性を軽減するための特定の措置を講じるよう促した。[ 6 ]

2021年5月14日、サイバーセキュリティ企業のRecorded Future、FireEye、Intel 471が入手し、ウォール・ストリート・ジャーナルニューヨーク・タイムズが報じたロシア語の声明の中で、DarkSideは「米国からの圧力により」活動を中止し、ギャングの「アフィリエイトプログラム」(DarkSideがハッキングを行うために協力する仲介ハッカー)を閉鎖すると述べた。[ 16 ] [ 25 ]具体的な「圧力」が何であるかは明らかではないが、前日、ジョー・バイデン米大統領は米国がDarkSideの「活動能力を阻害する」ために措置を講じると示唆した。[ 16 ] DarkSideは、支払いサーバー、ブログ、および不特定の口座に引き出された資金へのアクセスを失ったと主張した。[ 16 ]サイバーセキュリティの専門家は、ダークサイドが解散したという主張は調査をそらすための策略である可能性があり、[ 16 ]ギャングが別の名前でハッキング活動を再開できるようにする可能性があると警告している。[ 25 ]サイバー犯罪ネットワークがこのように閉鎖され、復活し、ブランドを変更することはよくあることである。[ 16 ]

AFPの記者は、ダークサイドのサーバーと資金の損失を詳述したRecorded Futureのレポートが、攻撃作戦に参加している米陸軍サイバー戦争グループである第780軍事情報旅団のTwitterアカウントによってリツイートされていることを発見した。[ 26 ]

後世

2022年4月までに、連邦捜査局(FBI)は、BlackCatの複数の開発者とマネーロンダリング業者が、解散した2つのランサムウェア・アズ・ア・サービス(RaaS)グループであるDarkSideとBlackMatterと関係があるという勧告を発表しました。 [ 27 ]一部の専門家によると、BlackCatはコロニアル・パイプラインへの攻撃後のDarkSideのブランド変更である可能性があります。[ 28 ]

参考文献

  1. ^ a b c「世界最大級の燃料供給会社を閉鎖に追い込んだとされる『ロビンフッド』犯罪組織ダークサイドが新たなリーダー、カディール・カーンを発見」 www.abc.net.au 2021年5月9日2021年5月10日閲覧
  2. ^ a b Dedenok, Roman (2021年5月10日). 「DarkSideのリークは、ランサムウェアがいかに産業化しているかを示している」 . Kaspersky Daily . AO Kaspersky Lab.
  3. ^ a b cダスティン・ボルツ、米国、コロニアル・パイプラインハッキング事件で犯罪グループを非難ウォール・ストリート・ジャーナル(2021年5月10日)。
  4. ^ a b c d eチャーリー・オズボーン、研究者がDarkSideランサムウェアサービスの関連会社5社を追跡、ZDNet(2021年5月12日)。
  5. ^ a b Chris Nuttall、「DarkSideのランサムウェア・アズ・ア・サービス」Financial Times(2021年5月10日)。
  6. ^ a b c dアラート(AA21-131A):DarkSideランサムウェア:ランサムウェア攻撃による業務中断を防ぐためのベストプラクティス、サイバーセキュリティ・インフラストラクチャセキュリティ庁/連邦捜査局(2021年5月11日、最終改訂2021年5月12日)。
  7. ^ Javers, Eamon (2021年5月10日). 「コロニアル・パイプラインの閉鎖に関与したハッキン​​ググループがここに」 . CNBC . 2021年5月21日閲覧
  8. ^ a b c Nicolás Rivero、「ハッキング集団DarkSideは国家公認の海賊行為である」Quartz(2021年5月10日)。
  9. ^ Cyber​​eason vs. DarkSide Ransomware、Cyber​​eason (2021年4月1日)。
  10. ^ a b「DARKSIDE ランサムウェアの活動に光を当てる | Mandiant」
  11. ^ Muncaster, Phil (2021年3月12日). 「Darkside 2.0ランサムウェア、史上最速の暗号化速度を約束」 Infosecurity Magazine . 2021年5月21日閲覧
  12. ^ a b c d eデビッド・E・サンガー&ニコール・パールロス、「FBIがパイプラインハッキングの背後にあるグループを特定」ニューヨーク・タイムズ(2021年5月10日)。
  13. ^ a b「DarkSideランサムウェアと米国のパイプライン攻撃についてわかっていることトレンドマイクロリサーチ(2021年5月14日)。
  14. ^脅威プロファイル: DarkSide ランサムウェア、MVISION Insights、McAfee。
  15. ^ a b c d e f g h i「ケーススタディ:ダークサイドランサムウェアは病院、学校、政府機関を攻撃しない」 Acronis . 2021年5月15日閲覧
  16. ^ a b c d e f g h i Michael Schwirtz & Nicole Perlroth、「DarkSide、ガスパイプライン攻撃の責任を問われ、閉鎖すると発表」ニューヨーク・タイムズ(2021年5月14日)。
  17. ^ Beerman, Jack; Berent, David; Falter, Zach; Bhunia, Suman (2023年5月). 「Colonial Pipelineランサムウェア攻撃のレビュー」. 2023 IEEE/ACM 第23回国際クラスター、クラウド、インターネットコンピューティングワークショップシンポジウム (CCGridW) . IEEE. pp.  8– 15. doi : 10.1109/CCGridW59191.2023.00017 . ISBN 979-8-3503-0208-0
  18. ^ 「謎の『ロビンフッド』ハッカー、盗んだ金を寄付」 BBCニュース、2020年10月19日。 2021年5月10日閲覧
  19. ^ 「Cyber​​eason vs. DarkSide Ransomware」www.cybereason.com 2021年4月1日。2021年4月1日時点のオリジナルよりアーカイブ。 2021年6月10日閲覧
  20. ^ Tidy, Joe (2020年10月19日). 「謎の『ロビンフッド』ハッカー、盗んだ金を寄付」 BBCニュース. 2021年6月10日閲覧
  21. ^ Immanni, Manikanta (2021年3月28日). 「CompuComへのランサムウェア攻撃、復旧費用2000万ドル以上」 TechDator . 2021年5月14日閲覧
  22. ^ブノワ・オーバーストラーテン氏と山崎真紀子氏、「東芝の部門がダークサイドにハッキングされ、複合企業は戦略的見直しを受ける」、ロイター(2021年5月14日)。
  23. ^ 「DarkSideランサムウェアがビットコインで9000万ドル以上を奪う」 Elliptic 2021年5月20日閲覧
  24. ^エレン・ナカシマ、イェガネ・トルバティ、ウィル・エングルンド、「ランサムウェア攻撃により米国の主要パイプラインシステムが停止」ワシントン・ポスト(2021年5月8日)。
  25. ^ a bロバート・マクミラン&ダスティン・ボルツ、「コロニアル・パイプラインのハッカー、ダークサイドが事業を停止すると発表」ウォール・ストリート・ジャーナル(2021年5月14日)。
  26. ^ 「コロニアル・パイプラインのハッカー、ダークサイドのサーバーが強制ダウン:セキュリティ会社」 AFP 2021年5月25日閲覧
  27. ^ 「ランサムウェアスポットライト:BlackCat - セキュリティニュース」www.trendmicro.com . 2023年7月14日閲覧
  28. ^ 「BlackCatランサムウェア攻撃の実態を解明」 cisecurity.org 2022年7月7日