隨著勒索軟件事件導致Colonial Pipeline的一條主要輸油管道關閉，DarkSide這個名字受到廣泛關注。2021年5月10日，FBI(美國聯邦調查局)宣布，對ColonialPipeline的攻擊是由一款名為“達克賽德” 的勒索軟件(DarkSide ransomware)變種引起的。而“達克賽德”勒索軟件則源於一個新的威脅行為體 – DarkSide(下圖 InformationWeek)。最新報道說Colonial Pipeline已支付高達$500萬美元贖金，其輸油管道因而得以恢複運轉。DarkSide經此一役名聲鵲起，似有由黑客變身豪客之勢，因為它可能一如既往地將部分贖金捐贈給宗教弱勢團體。自古英雄出少年。出道不及2年的DarkSide一出手便弄出如此這般的動靜，讓日進鬥金、身家億萬的大廠臣服，搞得全球唯一超霸灰頭土臉。 那麽，這個 DarkSide究竟是何方神聖呢？

DarkSide是一個相對較新的組織，該組織利用勒索軟件網絡攻擊入侵美國和歐洲的多家公司，他們試圖以泄露個人資料等威脅手段勒索公司。DarkSide的首秀是在去(2020) 年11月，當時DarkSide開發者在俄語黑客論壇XSS上展示了他們的勒索軟件。其實在DarkSide公開亮相前的2020年8月，就有反網絡犯罪機構注意到該組織的存在。就在俄語黑客論壇XSS期間，DarkSide還打出廣告，以加盟成員(affiliates)“即服務”模式, 招聘合作夥伴。很快，DarkSide就從網絡犯罪幫派中脫穎而出，成為眾多網絡攻擊勒索軟件的幕後黑手，這中間就包括幾起針對歐美製造商和律師事務所的事件(下圖 fireye)。

據網絡犯罪情報首要提供商英特爾471公司(Intel471)和網絡安全技術公司Cybereason調查發現， DarkSide的組織出色，他們將勒索當作一門生意來做，有一個成熟的商業模式 -- 勒索軟件即服務(Ransomware as a Service 簡稱RaaS)，和加盟夥伴計劃 -- 即DarkSide開發出勒索軟件攻擊工具後將其給那些希望實施攻擊的人。 任何試圖加盟DarkSide勒索軟件即服務計劃的夥伴都必須通過麵試，如果他們成功了，就會有一個控製麵板來選擇他們的勒索軟件版本，管理他們的受害者，並聯係支持人員。DarkSide網站設有新聞室、郵件列表，甚至還有一個服務台的電話熱線，以便與受害者進行談判並收集關於受害者的信息，不僅是關於他們環境的技術信息，而且還有與受害者公司本身有關的更一般的細節，如組織的規模和估計收入等。

在部署勒索軟件之前，DarkSide加盟夥伴會試圖滲透並橫向移動整個受害者組織，使攻擊者能夠在網絡上橫向移動，可以更快地加密更多的數據/係統(下圖 VARONIS)。要做到這一點，使這一點，通常加盟夥伴需要事先了解任務涉及的具體對象。這就是Colonial Pipeline攻擊如此奇特的原因。Cybereason首席執行官兼聯合創始人利奧爾·迪弗(Lior Div)闡述了這一點：他們知道誰是經理，他們知道和誰說話，他們知道錢在哪裏，他們知道誰是決策者…。換句話說，這可是些身懷絕技，出手便可直擊命門、一劍穿喉、致目標於死地的狠角色。

2021年3月，DarkSide又開發推出了許多新功能，以吸引新的加盟夥伴(下圖 BANK INFO SECURITY)。這其中就包括針對基於Microsoft Windows和Linux係統的增強版本的加密設置、直接內置在管理麵板中的全麵集成功能。該功能使加盟夥伴能夠安排受害者支付贖金的電話，和啟動分布式拒絕執行服務指令(DDoS)的方法。加盟夥伴現在可以透過不同的方式將勒索軟件下載部署到受害者的網絡平台上，如通過利用易受攻擊的軟件Citrix遠程桌麵Web(RDWeb)或遠程桌麵協議(RDP)來獲得初始網絡訪問，執行橫向移動，並在最終部署勒索軟件之前過濾敏感數據。加盟夥伴通常在地下論壇上購買訪問資格、暴力攻擊、使用垃圾郵件活動傳播惡意軟件加載程序和/或購買對如Dridex、TrickBot和ZLoader一類流行僵屍網絡的訪問資格等途徑來獲得網絡的初始訪問權。

DarkSide有很多加盟夥伴，包括UNC2628: 這個小組自2月份以來一直很活躍。他們可能隻潛伏在受損的網絡上兩到三天，便完成從最初的感染到勒索軟件的部署，以及加密；UNC2659：至少從1月份開始運行，平均在10天內完成從對受害者組織的初始訪問到勒索軟件部署；UNC2465：這是其網絡犯罪活動可追溯至2019年4月的“老槍”，它現在通過Smokedham.NET後門使用網絡釣魚電子郵件傳遞暗箱信息。在FireEye(下圖 Tweet)記錄的一個案例中，UNC2465在勒索軟件執行前幾個月就獲得了對網絡的初始訪問權。

2021年5月10日，DarkSide 在“DarkSide泄密”網站上發布一份聲明(下圖 VentureBeat)，暗示其加盟夥伴可能參與了對Colonial Pipeline的襲擊，並承諾他們在未來要“節製”，通過篩選加盟夥伴，“以避免未來的社會後果”。聲明還宣稱，DarkSide的行動是出於嚴格金錢動機，無任何政治目的，也不隸屬於任何政府機構。DarkSide說，他們有一套行為準則，即禁止攻擊醫院、收容所、學校、大學、非營利組織和政府機構。毫無疑問，這樣的行為準則是建立對受害者的信任和信心，即他們就有財力，也更有可能會為勒索買單。

去年10月，DarkSide在其博客上宣布，將把收取的贖金的一部分捐贈給致力於消除貧困的非營利兒童讚助組織“兒童國際”和旨在向撒哈拉以南非洲國家提供清潔水的非營利組織“水項目”(Water Project)。“我們認為這是公平的，他們已經支付的一些錢將用於慈善事業，”DarkSide在博客網站上寫道, “不管你認為我們的工作有多糟糕，我們很高興地知道我們幫助改變了某些人的生活。” 聽起來DarkSide似乎頗有道德準則，活脫脫現代版的劫富濟貧好漢羅賓漢(下圖 billboard)，也似警匪電影裏的"good guy"。對小說和影視劇本作者來說，或許這是一個絕好的創作素材。目前還不清楚DarkSide是否在此次Colonial Pipeline勒索中，會繼續為慈善機構提供資金，如果它真收到了贖金的話。

最新消息，筆者昨(5月14)日已無法登陸DarkSide網頁。據說已被迫關閉，但如此輕鬆順利地得手數百萬美金的案例，難道不會讓更多的黑客群起爭當DarkSide的仿效者？

參考資料

Goud, N. (2021). DarkSide Ransomware demands $2,000,000. Cybersecurity INSIDERS. 鏈接 https://www.cybersecurity-insiders.com/darkside-ransomware-demands-2000000/

Intel471. (2021). Here’s what we know about DarkSide ransomware. 鏈接  https://www.intel471.com/blog/darkside-ransomware-colonial-pipeline-attack

Javers, E. & Macias, A. (2021). Colonial Pipeline paid $5 million ransom to hackers. CNBC. 鏈接 https://www.cnbc.com/2021/05/13/colonial-pipeline-paid-ransom-to-hackers-source-says.html

Palmer, E. (2021). What is DarkSide? Russia-Linked Hacker Group Behind Colonial Pipeline Shutdown. Newsweek. 鏈接 https://www.newsweek.com/darkside-hacker-group-russia-colonial-pipeline-1590352

Russon. M. (2021). US fuel pipeline hackers 'didn't mean to create problems'. BBC. 鏈接  https://www.bbc.com/news/business-57050690

Shear, M. D. Perlroth, N. & Krauss, C. (2021). Colonial Pipeline Paid Roughly $5 Million in Ransom to Hackers.  The New York Times.  鏈接  https://www.nytimes.com/2021/05/13/us/politics/biden-colonial-pipeline-ransomware.html