Tout savoir sur le groupe de hackers Darkside

Le groupe a été identifié pour la première fois en août 2020. Darkside jouit d’une grande expérience dans la cybercriminalité, ses membres provenant d’autres groupes de hackers. Très vite, le groupe crée sa plateforme de Ransomware-as-a-Service (RaaS) et lance un programme d’affiliation.

Au lieu de mener les attaques directement, Darkside vend son ransomware à d’autres cybercriminels. Il reçoit en échange un pourcentage sur les gains. Ce système permet à Darkside de se concentrer sur l’amélioration de son programme malveillant, laissant à ses clients le soin d’accéder aux réseaux cibles.

Le fonctionnement et les objectifs de Darkside restent flous. Lors d’une conférence de presse, il a déclaré être « apolitique », se concentrant uniquement à l’aspect financier. Le groupe indique également que ces cibles sont de grandes entreprises. D’ailleurs, il en a fait une liste, épargnant ainsi les hôpitaux, les écoles et autres organisations de ce type.

Une fois infectée par le ransomware, la cible est sommée de payer pour retrouver ses fichiers. Le montant varie entre 200 000 et 20 millions de dollars. Cela dépend des capacités de paiement de l’entreprise.

Le groupe se démarque par son usage des techniques furtives. Avant de s’attaquer à sa cible, il effectue une reconnaissance minutieuse. Cela lui permet de passer outre les systèmes de détection des terminaux.

Les vecteurs d’entrée diffèrent d’une cible à une autre. Néanmoins, le groupe exécute le même schéma une fois qu’il est entré.

Darkside réussit à entrer au cœur du système de sa cible grâce au phishing, bien qu’il utilise d’autres méthodes. Cela lui permet d’obtenir les identifiants des comptes de sous-traitants pour atteindre sa cible finale.

Une fois entrées, les opérateurs établissent la communication et le contrôle. Ils installent dans certains cas le navigateur Tor. Ils savaient que certains systèmes s’appuient sur des solutions EDR, ils évitent donc d’y installer des portes dérobées.

Les mouvements latéraux dans le serveur permettent à Darkside de prendre le contrôle des comptes ayant des privilèges plus élevés.

Les différents comptes et leur privilège donnent un libre accès aux données. Darkside collecte les informations sensibles et monnayables. Dans certains cas, un serveur Windows actif lui sert d’emplacement de stockage avant l’exfiltration. Les données sont généralement compressées dans des archives 7zip.

Tous les fichiers du système sont désormais chiffrés. Darkside copie ensuite un fichier readme…txt dans tous les répertoires. Ce fichier informe la cible que son appareil est infecté et les fichiers cryptés. Sachant que les victimes sont de grandes entreprises, le message indique qu’ils ont plus de 100 Go de données.

Le message contient un lien qui redirige vers une page hébergée sur Tor. Pour y entrer, il faut saisir un code qui se trouve dans le même message. Cette fois-ci, on atterrit sur une page qui donne les indications pour décrypter les données. Elle mentionne également le montant exigé par les pirates.

Le moyen de paiement reste la cryptomonnaie, à savoir le Bitcoin. Néanmoins, l’une de ces cibles a indiqué une autre monnaie, le Monero, réputé pour son intraçabilité.

D’après les experts en cybersécurité, les opérateurs de Darkside exigent une rançon située entre 200 000 et 2 millions de dollars pour chaque victime. L’opération a permis au groupe de gagner plus d’un million de dollars en seulement quelques mois après son lancement.

Darkside a attiré l’attention des autorités américaines suite à l’attaque de Colonial Pipeline, considéré comme une entité d’infrastructure critique (CTI). Les opérateurs ont obtenu un accès initial au réseau grâce à une attaque par phishing. Ils ont ensuite déployé le ransomware, infectant tout le réseau informatique de l’entreprise.

Colonial Pipeline a vite déclenché l’état d’urgence, provoquant un arrêt temporaire de ses activités sur la côte est. En tout, cette cyberattaque a coûté près de 4 millions de dollars à l’entreprise.

Colonial Pipeline n’est pas le seul coup d’éclat de Darkside. En 2021, l’entreprise de services informatiques CompuCom figure parmi ces cibles. L’attaque lui a coûté près de 20 millions de dollars pour restaurer les données.

Au Canada, un constructeur et promoteur immobilier, Brookfield Residential a été également touché. En France, c’est la filiale de Toshiba Tec Corp qui perd près de 740 Go de données.

D’après une rétroingénierie menée par Varonis, une entreprise spécialisée dans la cybersécurité, le malware de Darkside détecte les langues des appareils cibles. Ainsi, il ne s’active pas si la cible est basée en Russie. De même, les membres du groupe discutent en russe lors des campagnes de recrutement sur les forums spécialisés. Tous ces indices indiquent que les attaquants sont sans doute russophones.

Quelques mois après l’attaque de Colonial Pipeline, le FBI et la CISA effectuent une déclaration conjointe, accusant Darkside. Le gouvernement se saisit de l’affaire, Joe Biden déclare à la presse que ce crime ne restera pas impuni et que les représailles seront lourdes.

Face à cette pression, le groupe a indiqué dans une déclaration en russe transmise au New York Times qu’il ferme définitivement sa plateforme de RaaS. En parallèle, le serveur de paiement devient hors service et le blog inaccessible. De son côté, la page web sera hors ligne « dans les 48 heures ».

Les raisons de ce revirement ? « La pression exercée par les États-Unis » d’après ce communiqué. Le programme d’affiliation est alors définitivement fermé. Le message se conclut par un « Soyez prudents et bonne chance » adressé à ses affiliés.

Les analystes en cybersécurité restent prudents face à ce message qu’il considère comme une ruse. En effet, le groupe pourrait bien se replier pour se réarmer. Une théorie qui se vérifie puisque dès novembre 2021, un nouveau groupe fait son apparition : Blackcat. Il aurait été créé par des anciens membres de Darkside. D’après le FBI, ce groupe nouvellement formé a déjà fait plus d’un millier de victimes depuis sa création.