💲

RaaSプロバイダー「DarkSide」について

2025/01/07に公開

概要

DarkSideという組織は、その高度な攻撃と独自のビジネスモデルで知られる悪名高いRansomware-as-a-Service(RaaS)です。ランサムウェア業界で急速に台頭し、そのプロフェッショナリズムと積極的な戦術により注目を集めています。また、組織名だけでなく、そのランサムウェアのことも指します。

RaaSの概要については以下を参照
https://zenn.dev/acebet/articles/802f05e51060c1

DarkSideの詳細について書いていきます。

DarkSideは2020年8月に初めて登場し、効果的かつ高度に組織化されたランサムウェアの運用により、急速に注目を集めました。RaaSモデルで運用されるDarkSideは、ランサムウェアのインフラストラクチャをアフィリエイトに提供し、彼らがランサムウェアを展開し、交渉や身代金の支払いを処理します。

このようなモデルにより、DarkSideはアフィリエイトのネットワークを通じてその影響力を拡大し、運用の影響力を高めることができ、ランサムウェア業界において重要な脅威となっています。

技術的な特徴

DarkSideはRaaSモデルで運用され、アフィリエイトにランサムウェアのツールキットを提供します。これらのアフィリエイトは、このツールキットを使用して攻撃を開始し、被害者と交渉し、身代金の支払いを管理します。DarkSideはこれらのアフィリエイトから身代金の一部を受け取ります。この分散型アプローチにより、ランサムウェアの迅速な展開が可能となり、財務的利益を最大化します。

RaaSモデルにより、DarkSideは広範なアフィリエイトネットワークを活用し、その影響力と攻撃頻度を大幅に拡大します。このモデルは柔軟性とスケーラビリティも提供し、アフィリエイトが幅広い業界や組織をターゲットにすることを可能にします。

より技術的な話は以下が詳しいです。
「サイバーリーズン vs. DarkSideランサムウェア」2021/5/6 cybereason社HPより
https://www.cybereason.co.jp/blog/ransomware/6038/

感染と拡散

DarkSideは、従来のセキュリティ対策による検出を回避するための高度な技術を使用します。これには、洗練された暗号化手法、ネットワーク監視ツールの回避、正当な管理ツールの使用などが含まれます。攻撃を容易にするためのカスタム開発されたツールやスクリプトを使用し、ランサムウェアの展開のさまざまな側面を自動化し、データ窃取を管理します。

また、フィッシングメール、悪意のある添付ファイル、リモートデスクトッププロトコル(RDP)やその他のリモート管理ツールの脆弱性を悪用する方法などで、初期アクセスを取得します。

このグループは、被害者に悪意のあるペイロードを実行させるために、洗練されたソーシャルエンジニアリングの戦術をよく使用します。

ネットワーク内に侵入すると、DarkSideのオペレーターはさまざまなツールや技術を使用してネットワーク内を横移動し、特権に昇格し、追加のシステムを侵害します。ランサムウェアはネットワーク全体に迅速に拡散し、可能な限り多くのシステムに影響を与えることで被害を最大化するよう設計されています。

DarkSideは、高度な暗号化アルゴリズムを使用してファイルをロックし、被害者がアクセスできないようにします。暗号化プロセスは迅速かつ効果的で、大量のファイルをターゲットにして業務を中断させ、身代金の支払いの可能性を高めます。

データの窃取と二重恐喝

DarkSideは、ファイルを暗号化し、さらに窃取した機密データを漏洩させると脅す、二重恐喝戦略を採用しています。グループは、身代金が支払われない場合、盗まれたデータを公開するという脅しを加えます。この戦術は、データの喪失の脅威と公開のリスクを組み合わせることで、被害者に大きな圧力をかけます。またこの二重恐喝はランサムウェアのやり口として主流なものになっています。

DarkSideは、身代金要求に応じなかった被害者から盗まれたデータを公開するためのデータ漏洩サイトを運営しています。このサイトは、被害者を公に恥じ入らせ、機密情報を公開することで身代金の支払いを強制するために使用されます。

身代金の要求

DarkSideのオペレーターは、身代金交渉におけるプロフェッショナルなアプローチで知られています。彼らは通常、被害者と詳細な交渉を行い、身代金の金額と支払い条件を決定します。身代金の要求額は、暗号化されたデータや盗まれたデータの価値を反映して高額であることが多いです。

DarkSideは、一般的に、匿名性を維持し、取引を容易にするためにビットコインやモネロなどの暗号通貨での支払いを要求します。

歴史的な影響

DarkSideの台頭は、その効果的な二重恐喝戦略とプロフェッショナルなRaaSモデルによるものです。このグループは、ランサムウェア運用に新たな基準を設定し、他のRaaSプロバイダーに類似の手法を採用させる影響を与え、医療、金融、エネルギーなどの多様な業界をターゲットにしてきました。2021年5月に発生したコロニアル・パイプラインへの攻撃は、DarkSideに起因する最も注目すべき攻撃の一つであり、同グループの能力と影響力を示しました。

2021年5月、コロニアル・パイプライン攻撃後、法執行機関や政府機関からの圧力により、DarkSideの運用が混乱しました。グループのウェブサイトとインフラストラクチャが取り壊され、多くのアフィリエイトが逮捕されたか地下に潜ったと報告されています。

表向きには衰退したものの、BlackMatterという、DarkSideと同じ技術を利用したマルウェアも報告されており、姿を変えて活動し続けているという見方もあります。DarkSideの戦術、特に二重恐喝の手法は、他のランサムウェアオペレーターに影響を与え続けており、グループのアプローチは、さまざまな他のRaaSプロバイダーによって採用され、適応されています。

防御と軽減

予防策

バックアップ

重要なデータを定期的にバックアップし、バックアップがメインネットワークから安全に、別の場所に保存されていることを確認してください。この方法により、ランサムウェア攻撃の影響を軽減できます。

パッチ管理

システムやソフトウェアを最新のセキュリティパッチで更新し、ランサムウェアが悪用できる脆弱性から保護します。

フィッシング対策

従業員にフィッシングの試みや疑わしいメールを認識させるためのトレーニングを行い、初期感染のリスクを減らします。

対応策

インシデント対応

組織は、ランサムウェア攻撃に対応するための手順を含むインシデント対応計画を策定しておくべきです。これには、影響を受けたシステムの隔離、サイバーセキュリティ専門家への連絡、必要に応じて法執行機関との連携が含まれます。

復旧

バックアップからデータを迅速に復元し、ランサムウェアがネットワークから完全に駆除されたことを確認して攻撃から復旧します。
DarkSideの高度な二重恐喝の使用とRaaSモデルは、ランサムウェア業界に大きな影響を与えました。組織は進化するランサムウェアの脅威に対抗するため、引き続き警戒し、堅牢なセキュリティ対策を実施する必要があります。

関連記事
https://zenn.dev/articles/3a11795f8d2888/edit

Discussion