Informes

Alerta en la comunidad de ciberseguridad por la reciente actividad de Darkside Ransomware, el cual está atacando empresas de distintas verticales en la región. 

Alerta en la comunidad de ciberseguridad por la reciente actividad de Darkside Ransomware, el cual está atacando empresas de distintas verticales en la región.

Darkside es un ransomware que opera desde agosto del 2020, Los actores de la amenaza declararon que no apuntan a los siguientes tipos de organizaciones: Medicina (hospitales, hospicios), Educación (escuelas, universidades), Organizaciones sin fines de lucro, Sector gubernamental.

Una de las características más apreciables de DarkSide es su extensión de encriptación “.d0ac7d95” y la generación del siguiente archivo mensaje de rescate similar a REvil. “README.[ID_de_la_víctima].TXT”. Este, encripta archivos de texto, pdf, planillas de cálculo, videos, imágenes.

Dicho malware, afecta mayormente a dispositivos con sistema operativo Windows en todas sus versiones.

Funcionamiento

Según investigaciones, Darkside también emplea técnicas para la escalada de privilegios y la omisión de UAC (User Access Control). La técnica observada en este caso se conoce como CMSTPLUA UAC Bypass y explota la función ShellExec mediante la interfaz CMSTPLUA COM {3E5FC7F9-9A51-4367-9063-A120244FBEC7}. Esto permite iniciar un proceso con permisos elevados.

Así mismo utiliza el siguiente comando PowerShell para eliminar snapshots por una posible recuperación de archivos por parte del afectado:

PowerShell -ep bypass -c

“(0..61) |% {$ s + = [char] [byte] ('0x' + '4765742D576D694F626A6563742057696E33325F536861646F77

636F7079207C20466F72456163682D4F626D524637

). ”

Decodificado:

Get-WmiObject Win32_Shadowcopy | Para cada objeto {$ _. Delete ();}

Una vez comenzado el proceso de infección y eliminación de Snapshots busca los siguientes servicios para comenzar la encriptación:

• sql
• Oracle
• ocssd
• dbsnmp
• SyncTime
• agntsvc
• isqlplussvc
• xfssvccon
• mydesktopservice
• ocautoupds
• encsvc
• Firefox
• tbirdconfig
• mydesktopqos
• ocomm
• dbeng50
• sqbcoreservice
• Excel
• infopath
• msaccess
• mspub
• oneNote
• perspectiva
• powerpnt
• vapor
• thebat
• Thunderbird
• Visio
• winword
• WordPad
• Bloc de notas

Luego de la fase de cifrado DarkSide se comunica con un servidor de C&C con el fin de compartir la información cifrada del afectado, el servidor este asignado con el nombre de dominio securebestapp20.com.

IOC

Hashes DarkSide:

• da3bb9669fb983ad8d2ffc01aab9d56198bd9cedf2cc4387f19f4604a070a9b5
• 17139a10fd226d01738fe9323918614aa913b2a50e1a516e95cced93fa151c61
• 9CEE5522A7CA2BFCA7CD3D9DABA23E9A30DEB6205F56C12045839075F7627297
• 508dd6f7ed6c143cf5e1ed6a4051dd8ee7b5bf4b7f55e0704d21ba785f2d5add

IP DarkSide:

• 185.105.109.19
• 188.119.112.169
• 23.56.5.40
• 23.56.5.41
• 23.55.62.35

Dominio DarkSide:

• securebestapp20.com

Fuentes de información

• https://www.joesandbox.com/analysis/335487?idtype=analysisid#iocs
• https://www.pcrisk.es/guias-de-desinfeccion/9966-darkside-ransomware
• https://socprime.com/blog/affiliates-vs-hunters-fighting-the-darkside/
• https://www.virustotal.com/gui/file/9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297/community
• https://ghoulsec.medium.com/mal-series-13-darkside-ransomware-c13d893c36a6
• https://www.virustotal.com/gui/file/508dd6f7ed6c143cf5e1ed6a4051dd8ee7b5bf4b7f55e0704d21ba785f2d5add/behavior