Η Ρουμανική εταιρεία κυβερνοασφάλειας “Bitdefender” κυκλοφόρησε στις 11 Ιανουαρίου έναν δωρεάν αποκρυπτογράφο που μπορεί να βοηθήσει τα θύματα του DarkSide ransomware να ανακτήσουν τα κρυπτογραφημένα τους αρχεία, χωρίς να χρειάζεται να πληρώσουν τα λύτρα που του ζητούν οι χάκερς της συμμορίας. Ο αποκρυπτογράφος, που είναι επί του παρόντος διαθέσιμος για λήψη στο site της Bitdefender, μαζί με οδηγίες χρήσης, αποτελεί μία ανάσα αισιοδοξίας για εταιρείες των οποίων σημαντικά αρχεία κρυπτογραφήθηκαν από μια από τις πιο εξελιγμένες ransomware επιχειρήσεις που δραστηριοποιούνται στον σήμερα κυβερνοχώρο.
Το DarkSide είναι μία ransomware επιχείρηση που έχει ήδη κερδίσει εκατομμύρια από τον Αύγουστο του 2020 που ξεκίνησε να στοχεύει επιχειρήσεις. Η επιχείρηση σημείωσε αύξηση της δραστηριότητας μεταξύ Οκτωβρίου και Δεκεμβρίου 2020, όταν ο αριθμός των δειγμάτων DarkSide στην πλατφόρμα ID-Ransomware υπερδιπλασιάστηκε.
Η ομάδα χρησιμοποιεί ένα καθιερωμένο μοντέλο Ransomware-as-a-Service (RaaS) για να συνεργάζεται με άλλες εγκληματικές ομάδες. Αυτές οι ομάδες υποβάλουν αίτηση για το DarkSide RaaS και λαμβάνουν μια πλήρως λειτουργική έκδοση του ransomware. Στη συνέχεια, παραβιάζουν εταιρείες χρησιμοποιώντας τις δικές τους επιλεγμένες μεθόδους, εγκαθιστούν το ransomware και ζητούν από τα θύματα τεράστια ποσά λύτρων. Συγκεκριμένα, οι απαιτήσεις λύτρων κυμαίνονται από 200.000$ έως 2.000.000$, ανάλογα με το μέγεθος των παραβιασμένων οργανισμών.
Όπως αναφέρει το ZDNet, δεν πρόκειται για ένα νέο modus operandi. Πρόκειται για το λεγόμενο «κυνήγι μεγάλων παιχνιδιών»μ κατά το οποίο οι ransomware συμμορίες στοχεύουν ως επί το πλείστον εταιρείες υψηλού προφίλ, αντί για μεμονωμένους οικιακούς χρήστες, φιλοδοξώντας να αποκομίσουν όσο το δυνατόν περισσότερα κέρδη.
Σε περιπτώσεις όπου τα θύματα αρνήθηκαν να πληρώσουν τα λύτρα, οι χειριστές του DarkSide διέρρευσαν έγγραφα που έκλεψαν από το δίκτυο του θύματος σε ένα data leak site, ως μορφή τιμωρίας και προειδοποίησης σε άλλα θύματα που μπορεί να θέλουν να επαναφέρουν τα δεδομένα τους από αντίγραφα ασφαλείας αντί να πληρώσουν λύτρα.
Ενώ το DarkSide έχει να δημοσιεύσει τα ονόματα και τα δεδομένα νέων θυμάτων στο site του περίπου ένα χρόνο, η ομάδα πιστεύεται ότι εξακολουθεί να είναι ενεργή.
Σύμφωνα με το MalwareHunter, η πιο πρόσφατη δραστηριότητα από την ομάδα είναι μια ενημέρωση στο site της από την περασμένη εβδομάδα, με την οποία οι χειριστές του DarkSide πρόσθεσαν ένα νέο τμήμα αφιερωμένο στους δημοσιογράφους, όπου οι δημοσιογράφοι μπορούν να εγγραφούν και να επικοινωνήσουν με τη συμμορία του DarkSide.
Ενώ τα περισσότερα θύματα του DarkSide έχουν πληρώσει λύτρα ή έχουν αποκαταστήσει τα αρχεία από αντίγραφα ασφαλείας εδώ και μήνες, ο αποκρυπτογράφος του DarkSide δεν είναι άχρηστος για τους εξής λόγους:
- Βοηθά τις εταιρείες να ανακτήσουν σημαντικά αρχεία που είχαν κρυπτογραφηθεί μήνες πριν και τα οποία δεν μπόρεσαν να επαναφέρουν, αλλά εξακολουθούν να βρίσκονται αποθηκευμένα σε εφεδρικές μονάδες δίσκου.
- Αυξάνει τα λειτουργικά κόστη για τη συμμορία του DarkSide, η οποία θα πρέπει τώρα να κάνει ξανά όλους τους κωδικούς κρυπτογράφησης αρχείων για να αποτρέψει τις δωρεάν αποκρυπτογραφήσεις.
- Προσφέρει ένα σημαντικό πλήγμα στο DarkSide RaaS. Πολλές ransomware επιχειρήσεις έχουν κλείσει στο παρελθόν μετά την κυκλοφορία ενός δωρεάν αποκρυπτογράφου, καθώς οι περισσότεροι πελάτες τους τις εγκατέλειψαν για ανταγωνιστές που “δεν μπορούν να κρυπτογραφηθούν”.
Όσον αφορά τα θύματα, ο δωρεάν αποκρυπτογράφος που κυκλοφόρησε από την Bitdefender θα πρέπει, θεωρητικά, να λειτουργεί για όλες τις πρόσφατες εκδόσεις του DarkSide ransomware, ανεξάρτητα από την επέκταση αρχείου που πρόσθεσαν οι χάκερς στο τέλος κάθε κρυπτογραφημένου αρχείου. Αυτή η επέκταση είναι μοναδική ανά θύμα, καθώς υπολογίζεται από τοπικά χαρακτηριστικά, αλλά αυτό δεν αποτελεί πρόβλημα.
