Operatorzy ransomware DarkSide: „publikujemy ~65GB danych z włamania do firmy Pekaes”

17 lutego br. PEKAES opublikował zwięzły komunikat:
Informujemy, że 12 lutego br. wystąpiła awaria systemu informatycznego PEKAES, która uniemożliwia transmisję i aktualizację danych systemowych. Ze wstępnych ustaleń wynika, że infrastruktura informatyczna została zainfekowana szkodliwym oprogramowaniem.
Pierwsze komunikaty o awarii pojawiły się prawie tydzień przed oficjalnym komunikatem.
Z kolei grupa DarkSide opublikowała na swojej stronie dane, które – jak twierdzą – pochodzą z włamania do firmy Pekaes. DarkSide pisze, że ujawnia:
- Finance Data,
- COVID-19 Data,
- Clients Data,
- Contracts Data,
- SQL Data,
- Employees Data.
Poza dalszymi linkami, na dowód udostępnili tego typu zrzuty ekranowe (które dodatkowo ocenzurowaliśmy):


Przed publikacją tej informacji poprosiliśmy o komentarz przedstawiciela firmy Pekaes, otrzymując od pana Paweł Polnika taką odpowiedź:
Bardzo dziękuję za wiadomość i kontakt.
Pragnę poinformować, że w sprawie zdarzenia informatycznego, o którym PEKAES informuje na stronie internetowej pekaes.pl, prowadzone jest postępowanie przygotowawcze przez właściwe organy ścigania oraz instytucje powołane do reagowania na zdarzenia bezpieczeństwa komputerowego.
Jednocześnie uprzejmie informuję, że z uwagi na toczące się postępowanie, nie możemy udzielać dalszych komentarzy w tej sprawie. Liczymy na Pana zrozumienie w tej kwestii.
Warto zauważyć, że Pekaes nie pisze nigdzie na swojej stronie o „infekcji ransomware” czy „wycieku”, więc w zasadzie może być tu mowa o zupełnie dwóch osobnych incydentach, chociaż wg nas jest to mało prawdopodobne.
Ransomware DarkSide
Pierwsze warianty ransomware’u DarkSide obserwowane były już w sierpniu 2020 roku. DarkSide deklaruje, że jest grupą doświadczonych profesjonalistów, którzy działają wyłącznie z żądzy zysku. Atakuje więc tylko tych, którzy są w stanie zapłacić i oczekuje okupu, który nie zrujnuje ofiary. Ofiary dobiera starannie, “szlachetnie” omijając służbę zdrowia, edukację, organizacje non-profit i sektor rządowy.
Źródło: BleepingComputer
Zgodnie z aktualizacją z listopada 2020 roku, DarkSide składuje dane wyciekowe w Iranie, działa w modelu RaaS (ang. Ransomware-as-a-Service) na przejrzystych zasadach i dzieli się zyskiem 10-15% dla developerów, 75-90% dla współpracujących (ang. affiliates).
Dekryptor
Dla ransomware’u DarkSide, który został użyty do zaszyfrowania danych PEKAES-u, firma Bitdefender w styczniu br. opublikowała dekryptor. Według oświadczenia zespołu DarkSide dekryptor Bitdefendera wykorzystuje pewne podatności i stary klucz, który nie był unikatowy u ok. 40% ofiar. Opracowany przez nich ransomware został już udoskonalony i ten dekryptor jest już nieskuteczny. Nie wiadomo jednak, czy PEKAES został zaszyfrowany (jeśli został zaszyfrowany) ransomwarem z podatnościami, dzięki którym można odszyfrować pliki dekryptorem Bitdefendera, czy już nową, udoskonaloną wersją.
Źródło: Twitter MalwareHunterTeam
Dodatkowo Maciej Kotowicz wyjaśnia:
Obecnie większość błędów popełnianych przez twórców ransomware’ów znajduje się w logice generowania klucza sesyjnego, nie inaczej było też w przypadku DarkSide. Klucze generowane były za pomocą pseudo-losowego algorytmu LCG (ang. Linear Congruential Generator), którego kolejne wartości zależą od poprzednich – w szczególności od wartości początkowej, czyli tzw. ziarna (ang. seed value). Wartość ta we wczesnych wersjach DarkSide była stała, co umożliwiało odtworzenie klucza.
-as, ms.
PS
Specjalne podziękowania dla Macieja Kotowicza za analizę złośliwych binarek darkside.
Pytanie: w jaki sposób najłatwiej zidentyfikować rodzaj ransomeware, jaki nas dopadł? Czy tylko nomoreransom.org, czy jeszcze coś? Czy powyższa strona, to pełna baza wszystkiego co tylko przestępcy stworzyli?
Albo inaczej: czy jest ryzyko, że zaszyfruje mnie coś już rozpracowanego, ale ja zwyczajnie nie znajdę małej stronki na końcu internetu, na której ktoś opublikował deszyfrator?
Najłatwiej wygooglać po rozszerzeniu przykładowego, zaszyfrowanego pliku, które jest charakterystyczne dla różnych rodzin ransomware’u. Możesz też przesłać taki przykładowy plik razem z ransom note, czyli wiadomością od przestępców do zespołu CERT Polska w celu analizy – specjaliści sprawdzą czy masz szansę zostać odszyfrowany.
Czy ktoś zna stronę gdzie jest agregator takich paczek danych przejętych przez operatorów ransomware?
Sekuraku, czekamy na Twój obiecany materiał o Ransomware – przyda się i to wszystkim :)