Dark Side

From DefacerID Encyclopedia
Jump to navigation Jump to search
DarkSide

DarkSide adalah kelompok peretas kriminal siber yang diyakini berbasis di Rusia, yang menargetkan korban menggunakan ransomware dan pemerasan. Kelompok ini diduga bertanggung jawab atas serangan siber terhadap Colonial Pipeline. Diperkirakan bahwa mereka telah berhasil meretas dan memeras uang dari sekitar 90 perusahaan hanya di AS. DarkSide menyediakan ransomware sebagai layanan.

Kelompok ini mengklaim tidak berpolitik.

Target

DarkSide diyakini berbasis di Eropa Timur, kemungkinan Rusia, tetapi tidak seperti kelompok peretas lainnya yang bertanggung jawab atas serangan siber besar-besaran, kelompok ini tidak dianggap didanai langsung oleh negara (misalnya, dioperasikan oleh layanan intelijen Rusia). DarkSide menghindari target di lokasi geografis tertentu dengan memeriksa pengaturan bahasa sistem mereka. Selain bahasa dari 12 negara CIS saat ini, mantan, atau pendiri, daftar pengecualian juga mencakup bahasa Arab Suriah. Para ahli menyatakan bahwa kelompok ini adalah "salah satu dari banyak kelompok ransomware untuk-profit yang telah berkembang dan berkembang di Rusia" dengan setidaknya persetujuan implisit dari otoritas Rusia, yang membiarkan aktivitas tersebut berlangsung selama menyerang target asing. Fitur pengecekan bahasa dapat dinonaktifkan ketika ransomware dibangun. Versi seperti itu diamati pada Mei 2021. Selain itu, DarkSide tidak menargetkan pusat kesehatan, sekolah, dan organisasi non-profit.

Kode ransomware yang digunakan oleh DarkSide mirip dengan perangkat lunak ransomware yang digunakan oleh REvil, kelompok peretas lain; kode REvil tidak tersedia untuk umum, menunjukkan bahwa DarkSide adalah cabang dari REvil atau mitra REvil. DarkSide dan REvil menggunakan catatan tebusan yang terstruktur dengan cara yang sama dan kode yang sama untuk memeriksa bahwa korban tidak berada di negara-negara CIS.

Menurut data Trend Micro Research, Amerika Serikat adalah negara yang paling banyak menjadi target DarkSide, dengan lebih dari 500 deteksi, diikuti oleh Prancis, Belgia, dan Kanada. Dari 25 negara yang diamati oleh McAfee, negara yang paling terkena dampak serangan DarkSide dalam hal jumlah perangkat yang terkena per juta perangkat adalah Israel, Malaysia, Belgia, Chili, Italia, Turki, Austria, Ukraina, Peru, dan AS.

Hingga Juni 2021, DarkSide hanya menerbitkan data dari satu perusahaan; jumlah data yang diterbitkan melebihi 200 GB.

Mekanisme Serangan

Ransomware DarkSide awalnya melewati UAC menggunakan antarmuka CMSTPLUA COM. Perangkat lunak ini kemudian memeriksa lokasi dan bahasa sistem untuk menghindari mesin di negara-negara bekas Uni Soviet; daftar bahasa yang dikecualikan adalah Rusia, Ukraina, Belarus, Tajik, Armenia, Azerbaijan, Georgia, Kazakh, Kyrgyz, Turkmen, Uzbek, Tatar, Moldovan Romania, dan Arab Suriah.

Perangkat lunak ini kemudian membuat file bernama LOG.{userid}.TXT, yang berfungsi sebagai file log. Perangkat lunak ini menghapus file di recycle bin satu per satu, menghapus beberapa program keamanan dan cadangan, dan menghentikan proses untuk memungkinkan akses ke file data pengguna. Selama proses enkripsi yang sebenarnya, ID pengguna dihasilkan berdasarkan alamat MAC dan muncul terlampir pada nama file, dan data file dienkripsi dengan Salsa20 dan kunci matriks acak (yang, dienkripsi dengan kunci RSA yang sudah di-hardcode, juga terlampir pada file). Namun, perangkat lunak ini menghindari enkripsi folder, file, dan tipe file tertentu.

Akhirnya, ransomware meninggalkan catatan tebusan berjudul README.{userid}.TXT, yang mengarahkan pengguna untuk mengakses situs dengan Tor; situs ini kemudian meminta pengguna untuk memverifikasi identitas mereka dan melakukan pembayaran menggunakan Bitcoin atau Monero.

Model Bisnis

DarkSide menggunakan peretas perantara yang disebut "afiliasi". Mereka menggunakan model "ransomware-as-a-service" — model di mana DarkSide memberikan akses kepada pelanggan "afiliasi" (yang disaring melalui wawancara) ke ransomware yang dikembangkan oleh DarkSide, sebagai imbalan untuk memberikan bagian dari pembayaran tebusan kepada DarkSide (25% untuk pembayaran tebusan di bawah $500.000 dan 10% untuk pembayaran tebusan di atas $5 juta). Afiliasi diberikan akses ke panel administrasi di mana mereka membuat build untuk korban tertentu. Panel ini memungkinkan beberapa tingkat kustomisasi untuk setiap build ransomware. Firma keamanan siber Mandiant, anak perusahaan FireEye, telah mendokumentasikan lima klaster aktivitas ancaman yang mungkin mewakili afiliasi berbeda dari platform RaaS DarkSide, dan telah menggambarkan tiga di antaranya, yang disebut UNC2628, UNC2659, dan UNC2465.

Beberapa peneliti berpendapat bahwa model bisnis DarkSide mirip dengan waralaba, artinya pembeli dapat menggunakan merek DarkSide dalam serangan mereka. Selain itu, DarkSide dikenal beroperasi dengan tingkat profesionalisme, karena analis telah mencatat bahwa kelompok peretas ini memiliki ruang pers, daftar mailing, dan hotline korban yang ditemukan di situs web mereka.

Sejarah dan Serangan

2020

Kelompok ini pertama kali diperhatikan pada Agustus 2020. Perusahaan keamanan siber Kaspersky menggambarkan kelompok ini sebagai "perusahaan" karena situs webnya yang terlihat profesional dan upaya untuk bekerja sama dengan jurnalis dan perusahaan dekripsi. Kelompok ini "telah secara terbuka menyatakan bahwa mereka lebih suka menargetkan organisasi yang mampu membayar tebusan besar daripada rumah sakit, sekolah, organisasi non-profit, dan pemerintah." Kelompok ini berusaha membentuk citra "Robin Hood", mengklaim bahwa mereka menyumbangkan sebagian hasil tebusan mereka untuk amal. Dalam postingan di darkweb, kelompok ini memposting kwitansi untuk sumbangan BTC 0,88 (saat itu bernilai $10.000) masing-masing untuk Children International dan The Water Project bertanggal 13 Oktober 2020; Children International menyatakan bahwa mereka tidak akan menerima uang tersebut.

2020 hingga 2021

Dari Desember 2020 hingga Mei 2021, tebusan yang diminta oleh kelompok ini berkisar antara $200.000 hingga $2 juta. DarkSide menyerang infrastruktur minyak dan gas AS pada empat kesempatan. Ransomware DarkSide menghantam penyedia layanan IT yang dikelola CompuCom pada Maret 2021, mengakibatkan biaya pemulihan lebih dari $20 juta; mereka juga menyerang Canadian Discount Car and Truck Rentals dan Toshiba Tec Corp., unit dari Toshiba Corp. DarkSide memeras uang dari perusahaan Jerman, Brenntag. Firma keamanan cryptocurrency Elliptic menyatakan bahwa dompet Bitcoin yang dibuka oleh DarkSide pada Maret 2021 telah menerima $17,5 juta dari 21 dompet Bitcoin (termasuk tebusan Colonial Pipeline), menunjukkan jumlah tebusan yang diterima selama beberapa bulan. Analisis Elliptic menunjukkan bahwa secara total, DarkSide menerima lebih dari $90 juta dalam pembayaran tebusan dari setidaknya 47 korban. Rata-rata pembayaran tebusan adalah $1,9 juta.

2021

FBI mengidentifikasi DarkSide sebagai pelaku serangan ransomware Colonial Pipeline, serangan siber pada 7 Mei 2021, yang dilakukan oleh kode jahat, yang mengakibatkan penutupan sukarela dari pipa utama yang menyuplai 45% bahan bakar ke Pantai Timur AS. Serangan ini digambarkan sebagai serangan siber terburuk hingga saat ini pada infrastruktur kritis AS. DarkSide berhasil memeras sekitar 75 Bitcoin (hampir $5 juta) dari Colonial Pipeline. Pejabat AS sedang menyelidiki apakah serangan tersebut murni kriminal atau melibatkan pemerintah Rusia atau sponsor negara lainnya. Setelah serangan tersebut, DarkSide memposting pernyataan yang mengklaim bahwa "Kami tidak berpolitik, kami tidak berpartisipasi dalam geopolitik... Tujuan kami adalah untuk menghasilkan uang dan bukan menciptakan masalah bagi masyarakat."

Pada Mei 2021, FBI dan Cybersecurity and Infrastructure Security Agency mengeluarkan peringatan bersama yang mendesak pemilik dan operator infrastruktur kritis untuk mengambil langkah-langkah tertentu guna mengurangi kerentanannya terhadap ransomware DarkSide dan ransomware secara umum.

Pada 14 Mei 2021, dalam pernyataan berbahasa Rusia yang diperoleh oleh perusahaan keamanan siber Recorded Future, FireEye, dan Intel 471 serta dilaporkan oleh Wall Street Journal dan The New York Times, DarkSide mengatakan bahwa "karena tekanan dari AS" mereka menutup operasi, menutup "program afiliasi" kelompok tersebut (peretas perantara yang bekerja sama dengan DarkSide untuk meretas). Tekanan spesifik yang dimaksud tidak jelas, tetapi pada hari sebelumnya, Presiden AS Joe Biden menyarankan bahwa AS akan mengambil tindakan terhadap DarkSide untuk "mengganggu kemampuan mereka untuk beroperasi." DarkSide mengklaim bahwa mereka telah kehilangan akses ke server pembayaran mereka, blog, dan dana yang ditarik ke akun yang tidak ditentukan. Para ahli keamanan siber memperingatkan bahwa klaim DarkSide untuk telah membubarkan diri mungkin merupakan tipu daya untuk mengalihkan perhatian dari pengawasan, dan mungkin memungkinkan kelompok tersebut untuk melanjutkan aktivitas peretasan di bawah nama yang berbeda. Ini adalah hal yang umum bagi jaringan kriminal siber untuk menutup, muncul kembali, dan melakukan rebranding dengan cara ini.

Reporter Agence France-Presse menemukan bahwa laporan Recorded Future yang merinci kehilangan server dan dana DarkSide di-retweet oleh akun Twitter dari Brigade Intelijen Militer ke-780, sebuah kelompok Cyberwarfare Angkatan Bersenjata AS yang terlibat dalam operasi ofensif.

Posterity

Pada April 2022, FBI merilis advisory bahwa beberapa pengembang dan pencuci uang untuk BlackCat memiliki hubungan dengan dua grup ransomware as-a-service (RaaS) yang sudah tidak aktif - DarkSide dan BlackMatter. Menurut beberapa ahli, BlackCat mungkin merupakan rebranding dari DarkSide setelah serangan mereka terhadap Colonial Pipeline.


Referensi: