Por que você precisa estar atento ao Darkside

O DarkSide é uma cepa de ransomware relativamente nova que fez sua primeira aparição em agosto de 2020, e segue o modelo ransomware-as-a-service. No Brasil, o Darkside já causou estragos recentemente, com a invasão da Copel, e o roubo de mais de 1GB de dados, incluindo acesso à infraestrutura e dados pessoais de executivos da empresa e clientes.  

Recentemente, especialistas já detectaram uma variação 2.0 disponível no mercado, mas isso não é tudo: o código malicioso tem uma das velocidades de criptografia mais rápidas do mercado, e ainda inclui versões para Windows e Linux. 

Como muitas outras variantes de ransomware, o DarkSide segue a tendência de extorsão dupla, o que significa que os invasores não apenas criptografam os dados do usuário, mas primeiro fazem a exfiltração dos dados e ameaçam torná-los públicos se o pedido de resgate não for pago.  

Anatomia do ataque 

Após entrar no ambiente da empresam os invasores coletam informações úteis, tais como credenciais e arquivos. Criminosos vão usar o PowerShell para baixar o binário DarkSide como “update.exe” usando o comando “DownloadFile”, abusando de Certutil.exe e Bitsadmin.exe no processo. Além de baixar o binário DarkSide nos diretórios C: Windows e temporários, o invasor também cria uma pasta compartilhada na máquina infectada e usa o PowerShell para baixar uma cópia do malware lá. 

Uma vez instalado, o malware vai procurar obter os dados do Controlador de Domínio – eles começam a coletar outras informações e arquivos confidenciais, incluindo o acesso ao SAM (Server & Application Monitor) – que armazena várias senhas. 

Os invasores também criam uma pasta compartilhada usando o nome da empresa no próprio DC e copiam o binário DarkSide. Posteriormente no ataque, depois que todos os dados foram exfiltrados, os invasores usam bitsadmin.exe para distribuir o binário ransomware da pasta compartilhada para outros ativos no ambiente a fim de maximizar o dano. 

Quando o DarkSide é executado pela primeira vez no host infectado, ele interrompe os seguintes serviços relacionados a soluções de segurança e backup: vss, sql, svc, memtas, mepocs, sophos, Veeam, entre outros. Em seguida, o malware cria uma conexão com o servidor C2, e parte para desinstalar o Volume Shadow Copy Service (VSS) – excluindo as cópias de sombram e iniciando um script PowerShell ofuscado que usa a WMI para excluí-las. 

O malware então enumera os processos em execução e encerra processos diferentes para desbloquear seus arquivos, de forma que possa tanto roubar informações relacionadas armazenadas nos arquivos quanto criptografá-los. 

Como se preparar para o Darkside 

A primeira coisa é se certificar de que os pontos fracos da estrutura – geralmente os que estão disponíveis na web—tenham segurança extra. Múltiplo fator de autenticação e servidores desatualizados tornam-se portas de entrada fáceis para qualquer ameaça – não somente o Darkside. 

Outro ponto é o uso de criptografia fraca na SPN (nome na entidade de serviço). Contas privilegiadas com requisitos de senha fracos ou sem requisitos são alvos muito fáceis. 

Em muitas organizações, os invasores nem mesmo precisam de credenciais elevadas para coletar dados – o funcionário médio tem acesso a muito mais dados do que o necessário. Bloqueie os dados confidenciais para que apenas as contas certas tenham acesso e, em seguida, monitore os sistemas de arquivos para acesso incomum e eventos de alteração. 

Se você tiver pontos cegos nos armazenamentos de dados principais, no Active Directory, DNS, sistemas de acesso remoto ou em conexões da Web, terá dificuldade em determinar quais sistemas foram comprometidos e se dados confidenciais foram roubados. 

Os eventos do Active Directory podem ajudá-lo a identificar rapidamente contas e dispositivos comprometidos. Em vez de se concentrar em um endpoint por vez, uma vez que uma conta ou sistema comprometido tenha sido identificado, consulte o Active Directory em busca de sinais de movimento lateral dessa conta ou contas usadas naquele sistema.