by Gustav Elkjær Rødsgaard, Junior Security Analyst

Le 15 janvier 2022, le Service fédéral de sécurité russe a arrêté plusieurs membres du gang du ransomware REvil. L’une des personnes arrêtées faisait également partie des opérations du ransomware DarkSide et était directement impliquée dans l’attaque de Colonial Pipeline. Enquêtons à présent sur les activités passées du ransomware DarkSide, de ses opérateurs et affiliés.

Découvert à l’été 2020, DarkSide est un ransomware développé par l’acteur malveillant Carbon Spider, également appelé FIN7 par la société MITRE. Il ciblait principalement les États-Unis. Les développeurs utilisaient auparavant le ransomware REvil jusqu’à ce qu’ils développent leur propre ransomware, DarkSide. FIN7 exploite son ransomware DarkSide avec le modèle RaaS, lequel inclut un programme d’affiliation.

Les origines du ransomware DarkSide et de ses opérateurs

Le groupe DarkSide a annoncé sa retraite le 5 août 2021. Cependant, un mois plus tard, une nouvelle variante du ransomware avec le même profil que DarkSide est apparue sous le nom de BlackMatter. BlackMatter utilise les mêmes techniques de chiffrement uniques que celles de DarkSide. Ce constat peut indiquer que la retraite de DarkSide était un subterfuge pour que les gens n’associent pas DarkSide à BlackMatter.

Comme beaucoup d’autres ransomwares, DarkSide utilise une tactique de double extorsion. Cette technique implique des paiements séparés : le premier concerne une clé de déchiffrement pour déverrouiller les fichiers chiffrés et le deuxième est exigé pour garantir en échange que DarkSide détruira bien toutes les données exfiltrées.

On pense qu’ils sont actifs depuis l’été 2020, les affiliés de DarkSide opèrent selon la méthode du  » Big Game Hunting « , ciblant ainsi les grandes entreprises et exigeant un paiement compris entre 200 000 et 2 000 000 USD. Jusqu’à présent, les États-Unis ont été le pays le plus ciblé, suivis par la France, la Belgique et le Canada.

Tristement célèbre, Darkside était à l’origine de l’attaque de ransomware de Colonial Pipeline qui a débuté le 6 mai 2020. Après l’attaque, le ministère américain de la Justice a saisi 2,3 millions de dollars versés aux affiliés de DarkSide en crypto-monnaie.

Ce qui distingue les développeurs de DarkSide des autres développeurs de ransomware, c’est la manière avec laquelle ils ont tenté de s’associer à des journalistes et à des sociétés de déchiffrement pour légitimer leurs activités malveillantes.

Comment les affiliés de DarkSide compromettent leurs cibles ?

Le ransomware DarkSide, après avoir obtenu un accès initial à une machine cible, effectue une reconnaissance approfondie pour mapper l’infrastructure de l’entreprise et accéder aux fichiers critiques et aux utilisateurs privilégiés. La compromission initiale peut provenir d’emails de phishing malveillants contenant des liens suspects. De cette manière, DarkSide parvient à pénétrer dans le système de la victime avec un balisage (beacon) vers un serveur c2. Ensuite, pour augmenter les privilèges, DarkSide utilise l’outil Mimikatz afin de collecter les identifiants. DarkSide le fait dans le cadre de sa stratégie de double extorsion, pour exfiltrer les données des entreprises avant de chiffrer les machines de ses victimes.

Les affiliés de DarkSide ont utilisé, pour commencer, des TTP de compromission initiale qui ont permis à ces derniers, via des mots de passe suspects, d’attaquer l’infrastructure périmétrique, d’exploiter CVE-2021-20016 et d’utiliser des campagnes de phishing avec des emails contenant des liens malveillants. Les affiliés de DarkSide sont ensuite parvenus à pénétrer dans le système grâce à BEACON, SMOKEDHAM et F-Secure C3. De plus, ils ont augmenté les privilèges en exploitant CVE-2020-1472, Mimikatz et les dumps mémoire du processus LSASS. Les affiliés de DarkSide ont effectué une reconnaissance interne avec PowerView, les utilitaires Windows intégrés, BLOODHOUND et Advanced IP Scanner, et ont terminé leur attaque en utilisant rclone ou WinSCP pour l’exfiltration de données. Ils ont ensuite mis en place une extorsion de données et déployé le ransomware DarkSide de manière globale via PsExec.

Règles d’alerte à mettre en place dans votre SIEM pour contrer la menace du ransomware DarkSide

Sources de log : WindowsSysmon, Windows Server, Mimecast.

Détection :

Nous avons pu observer que DarkSide supprimait les clichés instantanés (shadow copy) sur les machines de leur victime. La détection peut être effectuée comme indiqué ci-dessous.

Requête de recherche : ‘Suspicious PowerShell Parameter Substring Detected’ :

norm_id=WindowsSysmon event_id=1 image="*\powershell.exe" command IN ["* -en*", "* -ec *", "* -noni*", "* -nop*", "* -exe* bypass*", "* -ep bypass*", "* -win* hid*", "* -w hid*", "* -sta *"]

DarkSide modifie également le registre Windows pour mettre en place une persistance au niveau des cibles. Les alertes détectant les modifications du registre Windows peuvent aider à protéger votre entreprise contre le ransomware DarkSide.

Une version de DarkSide ajoute des clés de registre locales. Pour que cette alerte fonctionne, les administrateurs doivent configurer l’ACL concernant l’objet à surveiller.

Requête de recherche :

norm_id = WinServer event_id = 4657 label = Change label = Configuration label = System object_name = "HKLM\System\CurrentControlSet\services\.*"
|  process regex("HKLM\\System\\CurrentControlSet\\services\\.(?P[a-zA-Z0-9]{8})$", object_name)
| fields log_ts, host, object_name, "process", event_category

DarkSide utilise Mimikatz pour exfiltrer les identifiants présents sur les machines infectées. La détection de Mimikatz est cruciale. Cette alerte examine lsass.exe, qui stocke les identifiants en mémoire dans Windows. Pour détecter Mimikatz avec cette alerte, vous avez besoin des logs Windows Sysmon.

Les affiliés de DarkSide, UNC2628, ont déployé Mimikatz pour le vol d’identifiants et l’élévation de privilèges.

Requête de recherche : ‘Mimikatz Detection LSASS Access Detected détecté’ :

norm_id=WindowsSysmon event_id=10 image="C:\windows\system32\lsass.exe" access IN ["0x1410", "0x1010"] -user IN EXCLUDED_USERS

Requête de recherche : ‘Credential Dumping – Process Access’ :

norm_id=WindowsSysmon event_id=10 target_image="*C:\Windows\system32\lsass.exe" 
(access="*0x1010*" or access="*0x1410*" or 
access="*0x147a*" or access="*0x143a*") call_trace="*C:\Windows\SYSTEM32\ntdll.dll" or call_trace="*C:\Windows\system32\KERNELBASE.dll" or call_trace="*|UNKNOWN(*)" -user 
IN EXCLUDED_USERS

Avec les logs de messagerie, cette alerte peut détecter les IOC de messagerie connus de DarkSide à l’aide d’une liste.

Requête de recherche :

device_category = EmailSecurity label = Attach label = Potential sender in DARKSIDE_EMAILS | chart count() by log_ts, sender, source_address, file, file_extension

DarkSide n’est pas nouveau dans l’univers des ransomwares et a, en effet, déjà attaqué plusieurs cibles. Logpoint a une liste compilée de hachages DarkSide qui peuvent vous servir à définir des alertes.

Requête de recherche :

(hash IN DARKSIDE_HASHS  OR hash_sha1 IN DARKSIDE_HASHS   OR hash_sha256 IN 
DARKSIDE_HASHS   OR hash_import in DARKSIDE_HASHS ) | rename hash_sha1 as hash, 
hash_sha256 as hash, hash_import as hash | chart count() by log_ts, device_name, host, 
device_ip, hash

NetWalker et DarkSide ont tous deux utilisé l’outil légitime PsExec dans leurs phases de déploiement du ransomware. Vous trouverez ci-dessous quelques alertes que vous pourrez configurer dans votre solution LogPoint afin de détecter PsExec.

Requête de recherche : ‘LP_PsExec Service Start Detected’ :

norm_id=WindowsSysmon event_id=1 command="C:\Windows\PSEXESVC.exe" -user IN 
EXCLUDED_USERS

Requête de recherche : ‘LP_PsExec Tool Execution Detected’ :

(norm_id=WinServer service="PSEXESVC" ((event_id=7045 service="*\PSEXESVC.exe") OR event_id="7036")) OR (event_id=1 image="*\PSEXESVC.exe" user="NT AUTHORITY\SYSTEM") -user IN EXCLUDED_USERS

Pour obtenir plus d’informations sur la détection de PsExec, consultez cet article de blog de Logpoint, qui présente de manière plus approfondie la détection et la mitigation de PsExec.

Les recommandations de la CISA, du FBI et de Logpoint pour bien se protéger contre le ransomware DarkSide

La CISA et le FBI ont averti que les infrastructures critiques étaient menacées par les opérateurs et les affiliés du ransomware DarkSide. La principale recommandation pour bien se protéger contre DarkSide est de suivre les mesures de mitigation de la CISA et du FBI ci-dessous :

  • Utilisation de l’authentification multifacteur pour l’accès à distance aux réseaux OT et IT.
  • Activation des filtres anti-spam puissants pour empêcher les emails de phishing d’atteindre les utilisateurs finaux.
  • Mise à jour des logiciels et filtrage du trafic réseau.
  • Limitation de l’accès aux ressources sur les réseaux, notamment en restreignant le RDP.
  • Désactivation des scripts de macro à partir de fichiers Microsoft Office.
  • Surveillance et/ou blocage des connexions entrantes à partir des nœuds de sortie Tor et d’autres services d’anonymisation.

Pour protéger davantage votre entreprise, il est recommandé d’implémenter Logpoint SIEM et d’utiliser les règles d’alerte fournies par Logpoint afin de détecter et mitiger le ransomware DarkSide.

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint:

Contact Logpoint

Learn more about Logpoint

Réserver une démo
Cas clients
Avis des clients