# DarkSide > Tipo: **ransomware** · S0622 · [MITRE ATT&CK](https://attack.mitre.org/software/S0622) > [!info] Resumo Operacional > Ransomware RaaS responsavel pelo ataque a Colonial Pipeline em maio de 2021, causando escassez de combustivel nos EUA. Modelo de quadrupla extorsao: criptografia + exfiltração + ameaça DDoS + ameaça a clientes/parceiros. Usa Salsa20 + RSA-1024 (Windows) e ChaCha20 + RSA-4096 (Linux). Arrecadou ~$90M em resgates antes de encerrar operações em maio de 2021 sob pressao do governo americano. ## Visão Geral [[darkside-ransomware|DarkSide]] e um ransomware do tipo RaaS (Ransomware-as-a-Service) que emergiu em agosto de 2020 e ganhou notoriedade internacional pelo ataque a Colonial Pipeline em maio de 2021 - um dos incidentes de cibersegurança com maior impacto fisico documentado, que causou escassez de combustivel em varios estados americanos e levou ao estado de emergência em 17 estados. O grupo por tras do DarkSide e rastreado como CARBON SPIDER pela CrowdStrike e como DarkSide Group pela maioria dos fornecedores. O [[darkside-ransomware|DarkSide]] introduziu o modelo de "quadrupla extorsao": alem da criptografia de dados e ameaça de públicacao (dupla extorsao, padrao do mercado), o grupo ameaçava realizar ataques DDoS contra a infraestrutura da vitima e contatar clientes, parceiros e investidores diretamente sobre a brecha - maximizando a pressao para pagamento. O ransomware usa criptografia assimetrica robusta: Salsa20 para criptografia de arquivos no Windows (com chave mestra RSA-1024) e ChaCha20 + RSA-4096 no Linux/VMware ESXi. O grupo operava com código de conduta público incomum: proibia ataques a hospitais, organizacoes de saúde, escolas, organizacoes sem fins lucrativos e governo - aparentemente para manter perfil baixo. Verificava o idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) para excluir paises da CEI (ex-URSS). Após o ataque a Colonial Pipeline, o grupo encerrou operações em maio de 2021 alegando pressao de "autoridades", com infraestrutura derrubada e servidores confiscados. O FBI recuperou $2.3M dos $4.4M pagos pela Colonial Pipeline. O grupo provavelmente se refundiu como BlackMatter e posteriormente como BlackCat/ALPHV. **Plataformas:** ESXi, Linux, Windows ## Como Funciona O acesso inicial tipico e via credenciais de VPN roubadas ou compradas em forums underground ([[t1078-valid-accounts|T1078]], [[t1133-external-remote-services|T1133]]). Após acesso, o operador conduz reconhecimento extenso, exfiltra dados sensíveis para o portal de extorsao do DarkSide, desativa servicos e ferramentas de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]), elimina shadow copies ([[t1490-inhibit-system-recovery|T1490]]) e deploya o ransomware na rede. A criptografia Salsa20/ChaCha20 e rapida, tornando a jánela de resposta a incidentes extremamente curta após detecção. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Credenciais VPN roubadas<br/>Compradas em fórum underground"] --> B["Reconhecimento<br/>Enumeracao AD, shares<br/>Identificação de dados valiosos"] B --> C["Exfiltração<br/>Dados copiados para servidor<br/>DarkSide antes da criptografia"] C --> D["Preparação<br/>Para servicos criticos<br/>Deleta shadow copies"] D --> E["Criptografia<br/>Salsa20 + RSA-1024 (Win)<br/>ChaCha20 + RSA-4096 (Linux)"] E --> F["Quadrupla Extorsao<br/>Criptografia + Exfiltração<br/>DDoS + Contato a clientes"] F --> G["Pagamento<br/>Bitcoin ou Monero<br/>Portal de negociacao DarkSide"] style A fill:#1a1a2e,color:#e0e0e0 style B fill:#16213e,color:#e0e0e0 style C fill:#0f3460,color:#e0e0e0 style D fill:#533483,color:#e0e0e0 style E fill:#e94560,color:#ffffff style F fill:#e94560,color:#ffffff style G fill:#c62a2a,color:#ffffff ``` ## Timeline ```mermaid timeline title DarkSide - Cronologia 2020-08 : DarkSide anuncia servico RaaS : Código de conduta incomum publicado : Proibe alvos em paises CIS 2020-10 : Primeiros ataques documentados : Alvos em energia e manufatura 2021-02 : Ataque a Discount Car and Truck Rentals : Modelo quadrupla extorsao confirmado 2021-05-07 : Ataque Colonial Pipeline : 5,500 milhas de oleoduto paralisadas : Escassez combustivel 17 estados EUA 2021-05-13 : FBI recupera $2.3M do resgaté : Colonial Pipeline paga $4.4M 2021-05-14 : DarkSide anuncia encerramento : Servidores desligados : Pressao do governo americano 2021-07 : Grupo provavelmente refundado como BlackMatter 2022 : BlackMatter vira BlackCat/ALPHV : Código DarkSide base do BlackCat ``` ## Técnicas Utilizadas - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais VPN para acesso inicial - [[t1133-external-remote-services|T1133 - External Remote Services]] - acesso via VPN/RDP - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - perfil completo do alvo - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - exclusao de paises CIS - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - identificação de dados valiosos - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - mapeamento de compartilhamentos - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - desativa AV/EDR antes de criptografar - [[t1489-service-stop|T1489 - Service Stop]] - para servicos criticos para maximizar criptografia - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - deleta shadow copies - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - criptografia Salsa20/ChaCha20 ## Relevância LATAM/Brasil O [[darkside-ransomware|DarkSide]] e sua evolução (BlackMatter, BlackCat/ALPHV) tem relevância critica para o Brasil, especialmente para o setor de energia e infraestrutura critica. O ataque a Colonial Pipeline demonstrou que ransomware pode causar impacto fisico em infraestrutura nacional - um cenário aplicavel ao setor de energia brasileiro (Petrobras, distribuidoras de energia eletrica, gasodutos). O Brasil e um dos paises mais atacados por ransomware na América Latina, e o modelo RaaS do DarkSide foi largamente copiado por grupos que operam ativamente contra alvos brasileiros. O modelo de acesso via credenciais VPN roubadas e altamente relevante para o contexto brasileiro, onde muitas organizacoes adoptaram VPN corporativa durante a pandemia sem fortalecer controles de autenticação (MFA). O setor de petroleo e gas brasileiro, alem de energia eletrica e infraestrutura de saneamento, deve ser tratado como target de alto valor por grupos descendentes do DarkSide. ## Detecção - Monitorar autenticação VPN fora do horario comercial, especialmente de geolocalizacoes incomuns - Detectar uso de ferramentas de exfiltração (rclone, WinSCP, MegaSync) por contas de servico - Alertar para exclusao massiva de shadow copies via vssadmin ou wmic - Monitorar desativacao de servicos de AV/EDR por contas nao-administrativas - Implementar MFA obrigatorio em todos os acessos VPN e RDP expostos a internet ```sigma title: DarkSide Pre-Encryption Shadow Copy Deletion status: stable logsource: category: process_creation product: windows detection: selection: Image|endswith: '\vssadmin.exe' CommandLine|contains: - 'delete shadows /all' - 'resize shadowstorage' condition: selection falsepositives: - Legitimaté backup management tools level: critical tags: - attack.impact - attack.t1490 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0622) MITRE ATT&CK - S0622 DarkSide (2024) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-131a) CISA AA21-131A - DarkSide Ransomware (2021) - [3](https://www.mandiant.com/resources/blog/shining-a-light-on-darkside-ransomware-operations) Mandiant - Shining a Light on DarkSide Ransomware Operations (2021) - [4](https://www.crowdstrike.com/blog/how-darkside-ransomware-shut-down-colonial-pipeline/) CrowdStrike - How DarkSide Ransomware Shut Down Colonial Pipeline (2021) - [5](https://www.justice.gov/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside) DOJ - DOJ Seizes $2.3M from Colonial Pipeline Ransomware (2021)