Operatorzy ransomware DarkSide: „publikujemy ~65GB danych z włamania do firmy Pekaes”

17 lutego br. PEKAES opublikował zwięzły komunikat:

Informujemy, że 12 lutego br. wystąpiła awaria systemu informatycznego PEKAES, która uniemożliwia transmisję i aktualizację danych systemowych. Ze wstępnych ustaleń wynika, że infrastruktura informatyczna została zainfekowana szkodliwym oprogramowaniem.

Pierwsze komunikaty o awarii pojawiły się prawie tydzień przed oficjalnym komunikatem.

Post z forum prostapaczka.pl 

Z kolei grupa DarkSide opublikowała na swojej stronie dane, które – jak twierdzą – pochodzą z włamania do firmy Pekaes. DarkSide pisze, że ujawnia:

• Finance Data,
• COVID-19 Data,
• Clients Data,
• Contracts Data,
• SQL Data,
• Employees Data.

Poza dalszymi linkami, na dowód udostępnili tego typu zrzuty ekranowe (które dodatkowo ocenzurowaliśmy):

Przed publikacją tej informacji poprosiliśmy o komentarz przedstawiciela firmy Pekaes, otrzymując od pana Paweł Polnika taką odpowiedź:

Bardzo dziękuję za wiadomość i kontakt.
Pragnę poinformować, że w sprawie zdarzenia informatycznego, o którym PEKAES informuje na stronie internetowej pekaes.pl, prowadzone jest postępowanie przygotowawcze przez właściwe organy ścigania oraz instytucje powołane do reagowania na zdarzenia bezpieczeństwa komputerowego.

Jednocześnie uprzejmie informuję, że z uwagi na toczące się postępowanie, nie możemy udzielać dalszych komentarzy w tej sprawie. Liczymy na Pana zrozumienie w tej kwestii.

Warto zauważyć, że Pekaes nie pisze nigdzie na swojej stronie o „infekcji ransomware” czy „wycieku”, więc w zasadzie może być tu mowa o zupełnie dwóch osobnych incydentach, chociaż wg nas jest to mało prawdopodobne.

Ransomware DarkSide

Pierwsze warianty ransomware’u DarkSide obserwowane były już w sierpniu 2020 roku. DarkSide deklaruje, że jest grupą doświadczonych profesjonalistów, którzy działają wyłącznie z żądzy zysku. Atakuje więc tylko tych, którzy są w stanie zapłacić i oczekuje okupu, który nie zrujnuje ofiary. Ofiary dobiera starannie, “szlachetnie” omijając służbę zdrowia, edukację, organizacje non-profit i sektor rządowy.

Źródło: BleepingComputer 

Zgodnie z aktualizacją z listopada 2020 roku, DarkSide składuje dane wyciekowe w Iranie, działa w modelu RaaS (ang. Ransomware-as-a-Service) na przejrzystych zasadach i dzieli się zyskiem 10-15% dla developerów, 75-90% dla współpracujących (ang. affiliates). 

Dekryptor

Dla ransomware’u DarkSide, który został użyty do zaszyfrowania danych PEKAES-u, firma Bitdefender w styczniu br. opublikowała dekryptor. Według oświadczenia zespołu DarkSide dekryptor Bitdefendera wykorzystuje pewne podatności i stary klucz, który nie był unikatowy u ok. 40% ofiar. Opracowany przez nich ransomware został już udoskonalony i ten dekryptor jest już nieskuteczny. Nie wiadomo jednak, czy PEKAES został zaszyfrowany (jeśli został zaszyfrowany) ransomwarem z podatnościami, dzięki którym można odszyfrować pliki dekryptorem Bitdefendera, czy już nową, udoskonaloną wersją. 

Źródło: Twitter MalwareHunterTeam

Dodatkowo Maciej Kotowicz wyjaśnia: 

Obecnie większość błędów popełnianych przez twórców ransomware’ów znajduje się w logice generowania klucza sesyjnego, nie inaczej było też w przypadku DarkSide. Klucze generowane były za pomocą pseudo-losowego algorytmu LCG (ang. Linear Congruential Generator), którego kolejne wartości zależą od poprzednich – w szczególności od wartości początkowej, czyli tzw. ziarna (ang. seed value). Wartość ta we wczesnych wersjach DarkSide była stała, co umożliwiało odtworzenie klucza.

-as, ms.

PS
Specjalne podziękowania dla Macieja Kotowicza za analizę złośliwych binarek darkside.