Operatorzy ransomware DarkSide: „publikujemy ~65GB danych z włamania do firmy Pekaes”

25 marca 2021, 14:51 | W biegu | komentarze 3
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

17 lutego br. PEKAES opublikował zwięzły komunikat:

Informujemy, że 12 lutego br. wystąpiła awaria systemu informatycznego PEKAES, która uniemożliwia transmisję i aktualizację danych systemowych. Ze wstępnych ustaleń wynika, że infrastruktura informatyczna została zainfekowana szkodliwym oprogramowaniem.

Pierwsze komunikaty o awarii pojawiły się prawie tydzień przed oficjalnym komunikatem.

Post z forum prostapaczka.pl 

Z kolei grupa DarkSide opublikowała na swojej stronie dane, które – jak twierdzą – pochodzą z włamania do firmy Pekaes. DarkSide pisze, że ujawnia:

  • Finance Data,
  • COVID-19 Data,
  • Clients Data,
  • Contracts Data,
  • SQL Data,
  • Employees Data.

Poza dalszymi linkami, na dowód udostępnili tego typu zrzuty ekranowe (które dodatkowo ocenzurowaliśmy):

Przed publikacją tej informacji poprosiliśmy o komentarz przedstawiciela firmy Pekaes, otrzymując od pana Paweł Polnika taką odpowiedź:

Bardzo dziękuję za wiadomość i kontakt.
Pragnę poinformować, że w sprawie zdarzenia informatycznego, o którym PEKAES informuje na stronie internetowej pekaes.pl, prowadzone jest postępowanie przygotowawcze przez właściwe organy ścigania oraz instytucje powołane do reagowania na zdarzenia bezpieczeństwa komputerowego.

Jednocześnie uprzejmie informuję, że z uwagi na toczące się postępowanie, nie możemy udzielać dalszych komentarzy w tej sprawie. Liczymy na Pana zrozumienie w tej kwestii.

Warto zauważyć, że Pekaes nie pisze nigdzie na swojej stronie o „infekcji ransomware” czy „wycieku”, więc w zasadzie może być tu mowa o zupełnie dwóch osobnych incydentach, chociaż wg nas jest to mało prawdopodobne.

Ransomware DarkSide

Pierwsze warianty ransomware’u DarkSide obserwowane były już w sierpniu 2020 roku. DarkSide deklaruje, że jest grupą doświadczonych profesjonalistów, którzy działają wyłącznie z żądzy zysku. Atakuje więc tylko tych, którzy są w stanie zapłacić i oczekuje okupu, który nie zrujnuje ofiary. Ofiary dobiera starannie, “szlachetnie” omijając służbę zdrowia, edukację, organizacje non-profit i sektor rządowy.

Źródło: BleepingComputer 

Zgodnie z aktualizacją z listopada 2020 roku, DarkSide składuje dane wyciekowe w Iranie, działa w modelu RaaS (ang. Ransomware-as-a-Service) na przejrzystych zasadach i dzieli się zyskiem 10-15% dla developerów, 75-90% dla współpracujących (ang. affiliates). 

Dekryptor

Dla ransomware’u DarkSide, który został użyty do zaszyfrowania danych PEKAES-u, firma Bitdefender w styczniu br. opublikowała dekryptor. Według oświadczenia zespołu DarkSide dekryptor Bitdefendera wykorzystuje pewne podatności i stary klucz, który nie był unikatowy u ok. 40% ofiar. Opracowany przez nich ransomware został już udoskonalony i ten dekryptor jest już nieskuteczny. Nie wiadomo jednak, czy PEKAES został zaszyfrowany (jeśli został zaszyfrowany) ransomwarem z podatnościami, dzięki którym można odszyfrować pliki dekryptorem Bitdefendera, czy już nową, udoskonaloną wersją. 

Źródło: Twitter MalwareHunterTeam

Dodatkowo Maciej Kotowicz wyjaśnia: 

Obecnie większość błędów popełnianych przez twórców ransomware’ów znajduje się w logice generowania klucza sesyjnego, nie inaczej było też w przypadku DarkSide. Klucze generowane były za pomocą pseudo-losowego algorytmu LCG (ang. Linear Congruential Generator), którego kolejne wartości zależą od poprzednich – w szczególności od wartości początkowej, czyli tzw. ziarna (ang. seed value). Wartość ta we wczesnych wersjach DarkSide była stała, co umożliwiało odtworzenie klucza.

-as, ms.

PS
Specjalne podziękowania dla Macieja Kotowicza za analizę złośliwych binarek darkside.

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. asdsad

    Pytanie: w jaki sposób najłatwiej zidentyfikować rodzaj ransomeware, jaki nas dopadł? Czy tylko nomoreransom.org, czy jeszcze coś? Czy powyższa strona, to pełna baza wszystkiego co tylko przestępcy stworzyli?
    Albo inaczej: czy jest ryzyko, że zaszyfruje mnie coś już rozpracowanego, ale ja zwyczajnie nie znajdę małej stronki na końcu internetu, na której ktoś opublikował deszyfrator?

    Odpowiedz
    • zaszyfrowany

      Najłatwiej wygooglać po rozszerzeniu przykładowego, zaszyfrowanego pliku, które jest charakterystyczne dla różnych rodzin ransomware’u. Możesz też przesłać taki przykładowy plik razem z ransom note, czyli wiadomością od przestępców do zespołu CERT Polska w celu analizy – specjaliści sprawdzą czy masz szansę zostać odszyfrowany.

      Odpowiedz
  2. GABS

    Czy ktoś zna stronę gdzie jest agregator takich paczek danych przejętych przez operatorów ransomware?

    Sekuraku, czekamy na Twój obiecany materiał o Ransomware – przyda się i to wszystkim :)

    Odpowiedz

Odpowiedz