DarkSide

Überblick

DarkSide ist eine Ransomware-Gruppierung, die nach dem Modell Ransomware-as-a-Service (RaaS) arbeitet und ihre Schadsoftware Partnern zur Durchführung von Angriffen bereitstellt. Bekannt wurde die Gruppe durch Angriffe mit hohen Lösegeldforderungen. Nach eigener Darstellung verzichtet DarkSide bewusst auf Angriffe gegen Krankenhäuser, Schulen, gemeinnützige Organisationen und Behörden und richtet sich stattdessen gezielt gegen große Unternehmen, die in der Lage sind, hohe Summen zu zahlen. Größere Aufmerksamkeit erlangte die Gruppe durch einen Angriff auf einen Betreiber kritischer Infrastruktur im Energiesektor, der zu Versorgungsstörungen führte. Schließlich gelang es Strafverfolgungsbehörden, die Operation der Gruppe zu zerschlagen und einen Teil der erbeuteten Gelder aus ihren Wallets zurückzuholen. DarkSide gilt als Vorläufer einer Nachfolgegruppierung, die das Vorgehen in ähnlicher Form fortführte.

Taktiken & Vorgehen

Den initialen Zugang verschafft sich DarkSide über bei Zugangshändlern erworbene Zugänge sowie über kompromittierte RDP- und VPN-Konten, teils ohne Mehr-Faktor-Authentisierung, und über das Ausnutzen von Schwachstellen in öffentlich erreichbaren Systemen wie VPN-Appliances. Zur Ausführung dienen WMI und PowerShell, mit dem auch Sicherheitswerkzeuge deaktiviert werden. Zum Abgreifen von Zugangsdaten kommt Mimikatz für das Auslesen des LSASS-Speichers zum Einsatz, zudem wird NTDS.dit von Domänencontrollern extrahiert. Die Erkundung erfolgt über Netzwerkscanner wie Advanced IP Scanner und SoftPerfect NetScan sowie über AdFind und BloodHound zur Abbildung von Domänen-Vertrauensstellungen. Die seitliche Bewegung stützt sich auf RDP, SMB-Admin-Freigaben und PsExec; Cobalt Strike dient der Steuerung über HTTPS und Tor. Daten werden mit Rclone in Cloud-Speicher exfiltriert (Double Extortion). Die Verschlüsselung nutzt Salsa20 mit RSA-Schlüsselschutz; Schattenkopien werden über vssadmin, wmic und bcdedit entfernt.

Schutzmaßnahmen

Fernzugänge über RDP und VPN sollten konsequent mit Mehr-Faktor-Authentisierung abgesichert und exponierte VPN-Appliances zeitnah gepatcht werden, da DarkSide kompromittierte Zugänge und Schwachstellen öffentlich erreichbarer Systeme ausnutzt. Der Zugriff auf den LSASS-Speicher sollte eingeschränkt und überwacht werden, um das Abgreifen von Zugangsdaten mit Mimikatz zu erschweren; Domänencontroller und die NTDS.dit sind besonders zu schützen. Sicherheitslösungen sollten mit Manipulationsschutz versehen werden, da Schutzprogramme vor der Verschlüsselung deaktiviert werden. Die seitliche Bewegung über RDP und SMB-Freigaben sollte durch Netzsegmentierung begrenzt werden. Ausgehender Datenverkehr zu Cloud-Speichern ist zu überwachen, um eine Exfiltration mit Rclone zu erkennen. Schattenkopien und Sicherungen sollten manipulationssicher vorgehalten werden.