darkside - RunkIntel

# DarkSide ## Visão Geral DarkSide e um grupo criminoso de ransomware, de provavel origem russa, que emergiu em agosto de 2020 e e responsavel pelo ataque mais significativo a infraestrutura critica dos EUA - o ataque ao [[colonial-pipeline-attack-2021|Colonial Pipeline]] em maio de 2021. O grupo opera um modelo Ransomware-as-a-Service (RaaS) altamente profissionalizado, incluindo aténdimento ao cliente, central de imprensa e "código de conduta" que teoricamente proibia ataques a hospitais, escolas e orgaos governamentais. O grupo arrecadou mais de **USD 90 milhões** em pagamentos de resgaté de 47 vitimas distintas antes de encerrar operações em maio de 2021, provavelmente se rebranding como [[blackmatter|BlackMatter]]. ## O Ataque ao Colonial Pipeline (Maio 2021) O ataque mais impactante do grupo atingiu o maior sistema de oleodutos de combustivel dos EUA: - **7 de maio de 2021:** Colonial Pipeline detecta ransomware e desliga operações preventivamente - **Impacto:** Shutdown de 5.500 milhas de pipeline; 45% do combustivel da Costa Leste dos EUA afetado - **Emergência declarada:** FMCSA declara emergência regional em 17 estados - **Resgaté pago:** 75 BTC (~USD 4,4 milhões) em horas - **Recuperacao parcial:** FBI recupera 63,7 BTC (USD 2,3 milhões) do resgaté - **12 de maio:** Pipeline retoma operações após 6 dias de shutdown > [!warning] Acesso Inicial Confirmado > O acesso ao Colonial Pipeline foi obtido via **credenciais VPN comprometidas de uma conta inativa**, sem MFA. As credenciais provavelmente vieram de um vazamento de dados anterior. Este e um vetor de acesso clássico do DarkSide. ## Attack Flow - Colonial Pipeline ```mermaid graph TB A["🎯 Acesso Inicial VPN com credenciais vazadas Conta inativa sem MFA (T1078)"] --> B["🔍 Reconhecimento Enumeracao de rede Identificação de ativos criticos"] B --> C["📦 Exfiltração ~100 GB de dados corporativos Via Mega.nz / PrivatLab"] C --> D["💥 Deploy Ransomware AES-256 + RSA criptografia Esvaziar Recycle Bin (T1490)"] D --> E["💰 Dupla Extorsao USD 4,4 milhoes pagos DarkSide Leaks site TOR"] E --> F["🚫 Encerramento Maio 2021 - pressao do FBI Possível rebranding BlackMatter"] style A fill:#e74c3c,color:#fff style B fill:#e67e22,color:#fff style C fill:#2980b9,color:#fff style D fill:#8e44ad,color:#fff style E fill:#196f3d,color:#fff style F fill:#7f8c8d,color:#fff ``` ## Modelo de Operação ```mermaid graph TB A["DarkSide Core Desenvolve ransomware Mantém infraestrutura RaaS"] --> B["Afiliados Conduzem intrusoes Escolhem alvos"] B --> C["Central de Imprensa Comúnicados publicos CDN para dados vazados"] C --> D["Help Desk Negociacao com vitimas Atendimento 24/7"] D --> E["Split: 17% core 83% afiliados Bitcoin via TOR"] style A fill:#e74c3c,color:#fff style B fill:#3498db,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#196f3d,color:#fff ``` ## Relevância para o Brasil e LATAM > [!warning] Alvos Confirmados no Brasil e LATAM > O DarkSide confirmou ataques a organizacoes brasileiras e da regiao LATAM: > - **Empresa brasileira de revendas de energia renovavel** (maio 2021) - dados roubados incluindo informações de clientes, financeiras e passaportes de funcionarios > - Dados de 1,9 GB roubados de 3 novas vitimas anunciadas após o Colonial Pipeline, incluindo empresa da LATAM > O modelo RaaS do DarkSide facilita que afiliados locais conduzam ataques usando a infraestrutura do grupo. ## Cronologia de Operacoes | Data | Evento | |------|--------| | Ago 2020 | DarkSide emerge; primeiras vitimas relatadas | | Nov 2020 | Lancamento de CDN para armazenamento de dados roubados | | Dez 2020 | DarkSide convida midia para seguir central de imprensa | | Mar 2021 | DarkSide v2.0 lancado com novas funcionalidades | | Mar 2021 | CompuCom hit - mais de USD 20 milhões em custos de restauracao | | Abr 2021 | Brenntag (Alemanha) - extorcao realizada | | Mai 2021 | Colonial Pipeline attack - maior ataque a infra critica dos EUA | | Mai 2021 | DarkSide anuncia encerramento; servidores "apreendidos" | | Jun 2021 | FBI recupera 63,7 BTC do resgaté do Colonial Pipeline | | Ago 2021 | BlackMatter emerge - considerado rebranding do DarkSide | ## Técnicas Utilizadas - [[t1078-valid-accounts|T1078]] - Credenciais VPN roubadas/vazadas para acesso inicial - [[t1133-external-remote-services|T1133]] - Servicos VPN para acesso remoto - [[t1021-001-remote-desktop-protocol|T1021.001]] - RDP para movimentação lateral - [[t1059-001-powershell|T1059.001]] - PowerShell para delecao de shadow copies - [[t1490-inhibit-system-recovery|T1490]] - Inhibicao de recuperacao do sistema - [[t1486-data-encrypted-for-impact|T1486]] - Criptografia AES-256 + RSA - [[t1041-exfiltration-over-c2-channel|T1041]] - Exfiltração de dados pre-criptografia ## Software Utilizado - [[s0154-cobalt-strike|Cobalt Strike]] - Framework de pos-exploração - DarkSide Ransomware - Criptografia AES-256 + RSA; evita paises CIS ## Caracteristicas Distintivas O DarkSide era notavel por: 1. **"Código de etica"** - Teoricamente proibia ataques a saúde, educação e governo 2. **Sofisticacao comercial** - Help desk, central de imprensa, CDN propria 3. **Doacoes a caridade** - Grupo afirmou fazer doacoes de receita a organizacoes de caridade 4. **Vetor CIS** - Ransomware verificava idioma do sistema; nao criptografava sistemas em paises CIS (Comunidade dos Estados Independentes) --- *Fontes: [Wikipedia - Colonial Pipeline Attack](https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack) | [FBI Seizure - DOJ](https://www.justice.gov/archives/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside) | [Trend Micro Analysis](https://www.trendmicro.com/en_us/research/21/e/what-we-know-about-darkside-ransomware-and-the-us-pipeline-attac.html)*