Grupa ransomware-a Dark Angels poznata je po svojim “sofisticiranim” i “tajnim” strategijama napada koje prvenstveno ciljaju velike korporacije za značajna plaćanja otkupnine.
Ova grupa je stekla slavu po izvođenju visoko ciljanih napada, uključujući rekordnu “otkupninu od 75 miliona dolara” koju je platila “kompanija sa liste Fortune 50” početkom 2024.
Zscaler istraživači su nedavno otkrili da “Dark Angels” ransomware aktivno napada Windows, Linux i ESXi sisteme .
Dark Angels Ransomware
Grupa ransomware-a “Dark Angels” pojavila se u aprilu 2022. iz regija “ruskog govornog područja” i revolucionirala je sajber napade putem svoje sofisticirane metodologije.
Radeći bez „posrednika za inicijalni pristup“ trećih strana, oni izvršavaju „precizno ciljana kršenja“ koristeći napredne taktike kao što su „kampanja za krađu identiteta“ i „iskorištavanje ranjivosti“ („ CVE-2023-22069 “) u aplikacijama za javnost.
Njihov tehnički arsenal nudi:
- Modificirane verzije ransomwarea zasnovanog na Babuk-u
- RTM Locker za Windows sisteme
- RagnarLocker varijante za Linux/ESXi okruženja
Jednom u mreži, oni “izvode opsežno izviđanje”, “eskaliraju privilegije kako bi dobili pristup administratoru domene” i “sistematski eksfiltriraju ogromne količine osjetljivih podataka” (u rasponu od 1 do 100 terabajta) preko svoje lokacije za curenje podataka “Dunghill Leak” na ‘Tor mreža’ i ‘Telegram kanal’ (@leaksdirectory).
Njihova strategija dvostruke iznude kombinuje „tradicionalno šifrovanje fajlova sa krađom podataka“, „ciljanje na preduzeća visoke vrednosti u zdravstvu“, „tehnologiju“, „proizvodnju“ i „telekomunikacijske sektore“ u „SAD-u“, „Evropi“ i „Jugu“. Amerika” i “Azija”.
.webp)
Za razliku od konvencionalnih grupa ransomwarea koje provode široko rasprostranjene napade, selektivno ciljanje “Dark Angels” i sofisticirane tehnike bočnog kretanja unutar ugroženih mreža omogućile su im da zadrže operativnu “stealth” dok maksimiziraju finansijsku dobit putem svog RaaS modela.
Tehnička evolucija Dark Angels-a pokazuje napredak od korištenja osnovnog “Babuk ransomware-a” do naprednijih varijanti kao što su “RTM Locker” za Windows sisteme i “RagnarLocker” za Linux/ESXi okruženja.
Na Windows-u su zamijenili tradicionalno “HC-128 enkripciju” sa “ChaCha20” i implementirali “ECC” koristeći “Curve25519” generisanje jedinstvenih “32-bajtnih privatnih ključeva” po datoteci.
.webp)
Proces šifrovanja uključuje razmjenu ključeva „Eliptičke krivulje Diffie-Hellman“ (‘ECDH’) sa tvrdo kodiranim javnim ključem, što rezultira zajedničkom tajnom koja služi kao „ključ za šifriranje ChaCha20“.
Za “Linux” i “ESXi” sisteme koriste kriptografiju eliptičke krivulje “secp256k1” u kombinaciji sa “AES-256” u “CBC” modu koristeći prilagođenu bitcoin-core “libsecp256k1 biblioteku” za izvođenje ključa.
Njihova strategija šifrovanja uključuje pametan pristup baziran na veličini datoteke gdje su “datoteke ispod 10 MB potpuno šifrovane”, dok veće datoteke prolaze kroz selektivno “1MB blok šifriranje” s podesivim intervalima preskakanja, optimizirajući proces šifriranja za opsežne skupove podataka.
Posebna operativna metodologija grupe uključuje samostalan rad „bez filijala“ koji je posebno usmjeren na „organizacije visoke vrijednosti“.
Osim toga, Mračni anđeli koriste “strateški pristup” kombinovanja “eksfiltracije podataka” sa selektivnim šifrovanjem.
IoCs
.webp)
Izvor: CyberSecurityNews