DarkSide 勒索病毒與美國輸油管攻擊事件(更新)

趨勢科技 Trend Micro Research 在網路上蒐集了數十個 DarkSide 勒索病毒樣本,並研究了該勒索病毒集團的運作方式以及它所瞄準的目標。 

本文已更新,增加了不少有關 DarkSide 受害者的參考資料。

5 月 7 日,一起勒索病毒攻擊造成負責美國東岸近半數油管運輸的 Colonial Pipeline 公司主動關閉營業,使得汽油、柴油、家用暖氣用油、噴射機用油、軍用油品全部受到嚴重衝擊。美國聯邦機動運輸安全管理局 (Federal Motor Carrier Safety Administration,簡稱 FMCSA)  在全美 18 州發布緊急狀態來緩解油品供應中斷的問題。

自駭客攻擊造成 Colonial Pipeline 營運關閉以來已經過了五天,該公司依舊沒辦法完全恢復營運。油品供應中斷已經開始影響車輛運輸,在 亞特蘭大 (Atlanta) 都會區,30% 的加油站都無油可賣,其他城市回報的數據也大致如此。為了維持民生必要油品的供應無虞,政府已發布囤積禁令。 

美國聯邦調查局 (FBI) 確認此次攻擊的幕後元凶是來自東歐的 DarkSide 駭客集團,該集團所用的勒索病毒是一個相對較新的家族,首次在 2020 年 8 月現身,但該集團之前就曾經在一些網路犯罪行動當中得逞,因此累積了不少經驗。

除了將 Colonial Pipeline 的電腦系統鎖死之外, DarkSide竊取了超過 100 GB 的企業資料。這個竊取資料的動作反而更有殺傷力,該集團向來慣用雙重勒索的伎倆,不但會要求受害者支付贖金來解鎖電腦,還會竊取企業的資料並趁機敲詐一筆。我們後面會提到,事實上 DarkSide 在網路犯罪集團之間算是相當具有創新能力,率先開發出所謂的「四重勒索服務」。

該集團在 5 月 12 日又公布了三家受害企業:一家位於蘇格蘭的建設公司、一家巴西再生能源產品經銷商公司,以及一家美國科技服務經銷商。DarkSide 集團宣稱總共從這三家公司竊取了 1.9 GB 的資料,包括:用戶資料、財務資料、員工護照、合約等機敏資訊。   

由於 DarkSide 採用 RaaS 勒索病毒服務 (Ransomware-as-a-service) 的經營模式,所以這三起攻擊背後很可能是三個不同的駭客團體所為。就連 DarkSide 集團自己也 承認他們只是購買了這些公司的網路存取權限 ,他們不曉得這些存取權限當初是如何取得。

Trend Micro Research 在網路上蒐集了數十個 DarkSide 勒索病毒樣本,並研究了該勒索病毒集團的運作方式以及它所瞄準的目標。 

DarkSide 勒索病毒

DarkSide 會將其 RaaS 提供給其他犯罪集團使用,從其利潤當中收取一定比例的佣金。這是現代化勒索病毒的一個絕佳範例,採用更進階的商業模式。現代化勒索病毒專門尋找高價值目標,且獲利方式也更多樣化 (如雙重勒索)。此外,現代化勒索病毒攻擊經常由多個集團聯合執行並平分獲利。這類攻擊有時候看起來更像是進階持續性滲透攻擊 (APT)  而非傳統的勒索病毒事件。  

以下是從一些公開報導當中拼湊出來的 DarkSide 活動時間表:

  •  2020 年 8 月:DarkSide 集團發表自己的勒索病毒。
  • 2020 年 10 月:DarkSide 將受害者身上拿到的 2 萬美元捐給慈善機構。
  • 2020 年 11 月:DarkSide 推出勒索病毒服務 (RaaS),並邀請其他網路犯罪集團使用該服務,而 DarkSide 資料外洩網站也隨後出現。
  • 2020 年 11 月:DarkSide 推出內容派送網路 (CDN) 來存放及派送偷來的資料。
  • 2020 年 12 月:DarkSide 人員邀請媒體與資料復原機構追蹤他們的新聞中心來掌握其資料外洩網站的最新動態。
  • 2021 年 3 月:DarkSide 2.0 發表,內含多項更新。
  • 2021 年 5 月:DarkSide 攻擊 Colonial Pipeline。DarkSide 在攻擊後宣稱他們並無政治動機,並開始篩選其攻擊目標 (可能是希望未來可以避免引人關注)。

突破防線

根據我們研究的 DarkSide 樣本,我們發現網路釣魚、遠端桌面通訊協定 (RDP)、攻擊已知漏洞是該集團突破企業防線的慣用手法。此外,該集團在整起攻擊過程當中還會搭配一般常見的 合法工具來躲避偵測並掩護其攻擊行動。  

歹徒在偵查與突破防線的階段會根據情況使用下列幾種合法工具:

  • PowerShell:偵查與常駐
  • Metasploit Framework:偵查
  • Mimikatz:偵查
  • BloodHound:偵查
  • Cobalt Strike:安裝

像 DarkSide 這類現代化勒索病毒不會一突破防線之後就馬上在企業內植入勒索病毒,駭客會先執行一些手動作業。

橫向移動與權限提升

橫向移動是現代化勒索病毒攻擊流程當中最重要的探索階段。其目的一般來說是要找出受害機構內的所有重要資料,包括後續資料外傳與加密的目標檔案及位置。

我們確認 DarkSide 確實如報導所言,其橫向移動的目標是取得網域控制器 (DC) 或 Active Directory 的存取權限,進而竊取登入憑證、提升權限、取得其他珍貴資產,以便能將偷到的資料外傳。接著,會繼續在系統間橫向移動,最後再經由 DC 網路共用資料夾將勒索病毒植入網路上的電腦。DarkSide 所採用的一些已知橫向移動技巧都會用到 PSExec 和 RDP。但如同我們前面所說,現代化勒索病毒集團的行為更像我們所認知的 APT 集團,他們會針對受害者的網路防禦措施調整自己的工具和方法。

資料外傳


採用雙重勒索技倆的勒索病毒,通常會先將企業關鍵資料外傳之後再發動勒索病毒。此時是勒索病毒攻擊最容易被發現的階段,因為受害機構的資安團隊很可能會注意到資料外傳的流量。而且這是植入勒索病毒前的最後一個步驟,所以駭客通常會在此時加快腳步,盡可能在被攔截之前完成。

我們發現,駭客在資料外傳階段會用到以下幾樣工具:

  • 7-zip:將準備外傳的檔案壓縮。
  • Rclone 與 Mega 用戶端:用來將檔案上傳至雲端儲存的工具。
  • PuTTy:替代的檔案傳輸工具。

DarkSide 會利用多個架設在 Tor 網路上的資料外洩網站來存放其竊取的資料。該集團會用到的檔案分享服務包括:Mega 和 PrivatLab。

執行勒索病毒造成衝擊


接下來的步驟就是真正執行勒索病毒,DarkSide 勒索病毒在這階段與 REvil 有許多相似之處,包括勒索訊息的結構、使用 PowerShell 來執行指令以便從網路刪除陰影副本。此外,兩者都使用相同的程式碼來確認受害機構不在獨立國協 (CIS) 境內。

除了使用 PowerShell 來安裝與執行惡意程式本體之外,報導更指出駭客還會使用 Certutil 與 Bitsadmin 來下載勒索病毒。至於加密方法則有兩種,視目標作業系統而定,如果是 Linux 就使用 ChaCha20 串流加密法搭配 RSA-4096,若是 Windows 就使用 Salsa20 搭配 RSA-1024。

下圖是 Darkside 的勒索訊息範例。

Figure 1. A DarkSide ransom note
圖 1:DarkSide 勒索訊息內容。

有趣的是,DarkSide 的勒索訊息與 Babuk 相似,所以兩個家族之間可能有所淵源。

DarkSide 勒索病毒的攻擊目標


根據其 Tor 資料外洩網站來看,DarkSide 在決定是否攻擊某個目標時,主要看該機構過去的財務記錄。此外,這些資訊也是他們決定勒索金額大小的依據,其贖金在 20 萬至 200 萬美元之間

報導指出,根據其資料外洩網站的資訊,已遭 DarkSide 侵襲的企業機構至少有 90 家。共有大約 2 TB 的資料遭到竊取,目前都在 DarkSide 的網站上,這些 100% 都是受害者被偷的檔案。

DarkSide 駭客集團表示,他們會避免攻擊醫療、教育、公共部門及非營利事業等產業。趨勢科技發現,目前受害的企業主要分布在製造、金融、重大基礎建設等產業。

根據趨勢科技資料顯示,美國是目前受害最嚴重的國家,偵測數量超過 500,其次是法國、比利時、加拿大。如同先前提到,DarkSide 會避開獨立國協 (CIS) 國家,勒索病毒程式碼會檢查受害者的地理位置資訊並避開該地區的企業 (雖然該集團很可能早在勒索病毒執行之前就已知道受害企業的位置)。該集團刻意放過獨立國協國家,顯示 DarkSide 很可能來自該地區。這麼做也有可能是為了避免當地執法機關採取行動,因為如果 DarkSide 攻擊的是境外目標,那就可能不會有刑事責任。

DarkSide 在攻擊 Colonial Pipeline 之後,隨即在其資料外洩網站上澄清該集團只想賺錢,並不想製造社會問題。這樣的聲明我們無從驗證,我們只知道該團體目前仍相當活躍。如前面提到,DarkSide 集團在攻擊了 Colonial Pipeline 之後又宣布他們襲擊了另外三家機構並竊取了資料。

MITRE ATT&CK 手法與技巧

以下是 DarkSide 勒索病毒所用到的 MITRE ATT&CK 攻擊手法與技巧。

Darkside Mitre Table
DarkSide Mitre table 2

結論


勒索病毒是一項存在已久但卻仍在持續演進的威脅。從 DarkSide 最近的活動就能看出,今日的勒索病毒在許多方面都已經改變:更大的攻擊目標、更多進階勒索技巧、超出受害者本身的長遠效應。 

勒索病毒集團不再只滿足於將電腦鎖死讓企業無法動彈好勒索贖金,現在,他們還會深入挖掘企業網路以便找到新的獲利方法。例如,一台遭到駭客入侵的雲端伺服器可能就會經歷一整套攻擊流程,從突破防線、資料遭竊取外傳並轉賣,然後再被用於其他用途來賺錢。已遭入侵的企業資產,在地下市場上可說是一項暴利商品,網路犯罪集團深知如何攻擊企業伺服器來賺錢。 

在 Colonial Pipeline 攻擊案例中,DarkSide 只用了雙重勒索伎倆,但在有些案例當中,駭客甚至會有更進一步的動作,趨勢科技全球威脅通訊總監 Jon Clay 摘要列出勒索病毒發展的幾個階段:

  • 第 1 階段:單純只有勒索病毒。將檔案加密,留下一封勒索訊息,然後等著收錢。
  • 第 2 階段:雙重勒索。第 1 階段 + 將資料外傳然後威脅公開資料。Maze 是第一個採用此手法的已知案例。
  • 第 3 階段:三重勒索。第 1 階段 + 第 2 階段 + DDoS 攻擊威脅。SunCrypt、RagnarLocker 和 Avaddon 是率先採用此手法的已知案例。
  • 第 4 階段:四重勒索。第 1 階段 + (可能搭配第 2 階段或第 3 階段) + 直接發送郵件給受害者的客戶,或者雇用電訪中心跟客戶聯繫。

事實上,如同一些資安報告指出,DarkSide 還具備了 DDoS 和電訪中心兩種功能。他們會提供四重勒索功能給其他犯罪集團選購,所以顯然具備相當的創新能力。在網路犯罪領域,所有的工具和技巧都沒有所謂的版權或專利。因此,所謂的創新就是迅速完全複製他人的最佳手法然後再開發出新的手法。 

未來,勒索病毒仍會不斷演進,因此,企業機構應花點時間針對新的勒索病毒攻擊型態擬定一套事件應變計畫。不幸的是,有些機構或許並未把網路資安列在第一順位,例如有資安專家就指出 Colonial Pipeline 仍在使用含有漏洞的舊版 Microsoft Exchange,而且還存在著一些其他的網路資安漏洞。一些提供民生必需服務的企業一旦遭到駭客攻擊,將連帶引發各種效應,對社會各層面帶來損害,這就是為何確保這類服務的安全是優先要務。

美國參議院一場有關網路資安威脅的聽證會上,俄亥俄州參議員 Rob Portman 形容 Colonial Pipeline 攻擊事件「或許是有史以來針對美國重大基礎建設最重大、也最嚴重的一次攻擊。」此次攻擊對所有企業機構都是一記警鐘,企業應強化其網路威脅防護,並提升網路可視性。

趨勢科技採用多層式網路資安平台來提升您企業偵測及回應最新勒索病毒攻擊的能力,並提高您企業的可視性。請參閱  Trend Micro Vision One™ 產品網頁來了解更多資訊。

原文出處:What We Know About the DarkSide Ransomware and the US Pipeline Attack