# DarkSide Ransomware > Tipo: **ransomware RaaS** - S0622 - [MITRE ATT&CK](https://attack.mitre.org/software/S0622) > [!danger] Responsavel pelo Ataque ao Colonial Pipeline - 5,5 Milhoes de Américanos Sem Combustivel > O DarkSide e um ransomware-as-a-service que operou de agosto de 2020 a maio de 2021, quando foi desativado após o ataque ao Colonial Pipeline - o maior ataque a infraestrutura critica de energia dos EUA. O ataque causou pane no fornecimento de combustivel para 45% da costa leste americana por 5 dias. O grupo CARBON SPIDER, operador do DarkSide, recebeu USD 4,4 milhões de resgaté antes de ser forcado a encerrar operações sob pressao governamental americana. O DarkSide evoluiu para o [[s0570-blackmatter-ransomware|BlackMatter]] em 2021. ## Visão Geral [[darkside-ransomware-group|DarkSide]] e um ransomware-as-a-service desenvolvido e operado pelo grupo [[g0046-fin7|CARBON SPIDER]], ativo de agosto de 2020 a maio de 2021, rastreado pelo MITRE como **S0622**. O grupo se destacou por adotar um modelo etico diferenciado: públicou uma "politica" que declarava nao atacar hospitais, escolas, organizacoes sem fins lucrativos e agencias governamentais. Ironicamente, o ataque ao [[colonial-pipeline-attack-2021|Colonial Pipeline]] - infraestrutura critica energetica dos EUA - foi o mais impactante da historia do ransomware em termos de impacto operacional real. O DarkSide usou criptografia hibrida RSA-1024 e Salsa20 e foi pioneiro em varios modelos do ecossistema ransomware: site de vazamento dedicado ("DarkSide Leaks"), programa de afiliados com regras de conduta e percentual de receita compartilhado, e capacidade multiplataforma (Windows e Linux/ESXi). A variante Linux foi especialmente desenvolvida para atacar servidores VMware ESXi, apagando snapshots antes da criptografia. Após o ataque ao Colonial Pipeline em maio de 2021, os servidores do DarkSide foram apreendidos e o Bitcoin recebido como resgaté parcialmente recuperado pelo DOJ americano (USD 2,3 milhões de 4,4 milhões pagos). O grupo encerrou operações e emergiu como [[s0570-blackmatter-ransomware|BlackMatter]] meses depois. **Plataformas:** Windows, Linux (VMware ESXi) ## Como Funciona 1. **Acesso inicial multiplo:** Spearphishing ([[t1566-001-spearphishing-attachment|T1566.001]]), credenciais RDP roubadas ou compradas de IABs ([[t1078-valid-accounts|T1078]]), e exploração de vulnerabilidades em VPNs e aplicações expostas ([[t1190-exploit-public-facing-application|T1190]]) 2. **Reconhecimento e exclusao geografica:** Verifica idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) - aborta execução em paises da ex-URSS (Russia, Ucrania, Georgia, etc.) 3. **Pre-criptografia:** Exfiltra dados corporativos sensiveis para site de vazamento ([[t1005-data-from-local-system|T1005]]) - pressao de dupla extorsao 4. **Desativacao de defesas:** Para servicos de backup, banco de dados e AV via PowerShell ([[t1562-001-disable-or-modify-tools|T1562.001]]) 5. **Criptografia RSA-1024 + Salsa20:** Cada arquivo criptografado com Salsa20 com chave única; chave Salsa20 encriptada com RSA-1024; extensao única por vitima 6. **Delecao de shadows:** Remove shadow copies para impedir recuperacao ([[t1490-inhibit-system-recovery|T1490]]) 7. **Extorsao dupla:** Exige resgaté com prazo; pública dados se nao pago ([[t1657-financial-theft|T1657]]) ```mermaid graph TB A["Acesso inicial<br/>RDP / IAB / Phishing<br/>T1078 + T1566.001"] --> B["Reconhecimento<br/>AD enumeration<br/>Selecao de alvos criticos"] B --> C["Exfiltração pre-cripto<br/>T1005 dados sensiveis<br/>Site DarkSide Leaks"] C --> D["Desativar defesas<br/>T1562.001 + backups<br/>vssadmin delete shadows"] D --> E["Variante Windows<br/>RSA-1024 + Salsa20<br/>Extensao customizada"] D --> F["Variante Linux ESXi<br/>Apaga snapshots VM<br/>Criptografia em massa"] E --> G["Nota de resgaté<br/>T1657 extorsao dupla<br/>USD 4.4M Colonial Pipeline"] F --> G classDef access fill:#e74c3c,color:#fff classDef recon fill:#e67e22,color:#fff classDef exfil fill:#2980b9,color:#fff classDef disable fill:#8e44ad,color:#fff classDef encrypt fill:#2c3e50,color:#fff classDef impact fill:#c0392b,color:#fff class A access class B recon class C exfil class D disable class E,F encrypt class G impact ``` ## Timeline ```mermaid timeline title DarkSide Ransomware - Historico Ago 2020 : DarkSide identificado pela primeira vez : Modelo RaaS com afiliados e "código de etica" Nov 2020 : Site DarkSide Leaks lancado : Dupla extorsao sistematizada Fev 2021 : Variante Linux para ESXi lancada : Capacidade multiplataforma expandida Mai 2021 : Ataque Colonial Pipeline : 5 dias sem combustivel na costa leste EUA Mai 2021 : DarkSide encerra operacoes : Servidores apreendidos, USD 2,3M recuperados Jul 2021 : BlackMatter surge como sucessor : Mesmos TTPs com nova marca ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spearphishing com documentos maliciosos | | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais RDP de IABs / phishing | | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de VPNs expostas | | Defense Evasion | [[t1614-001-system-language-discovery\|T1614.001]] | Verifica idioma - exclui paises ex-URSS | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Para servicos AV, backup e BD | | Collection | [[t1005-data-from-local-system\|T1005]] | Exfiltração de dados pre-criptografia | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | RSA-1024 + Salsa20 por arquivo | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Delecao de shadow copies | | Impact | [[t1657-financial-theft\|T1657]] | Dupla extorsao com site de vazamento | ## Relevância LATAM/Brasil O [[darkside-ransomware-group|DarkSide]] e inativo, mas seu legado e direto: o modelo de RaaS que criou inspirou dezenas de grupos sucessores que atacam o Brasil ativamente. O [[s0570-blackmatter-ransomware|BlackMatter]], seu sucessor direto, usou os mesmos TTPs. O grupo CARBON SPIDER introduziu o conceito de "código de etica" no ransomware - que na prática nao protege infraestrutura critica brasileira, como demonstrado pelo ataque ao Colonial Pipeline. A exclusao de paises ex-URSS do targeting - verificada via idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) - confirma origem russa. Brasil e demais paises da América Latina NAO sao excluidos desta verificação, tornando-os alvos válidos. Operadoras de infraestrutura critica brasileiras (energia, petroleo, gas, agua) devem usar o caso Colonial Pipeline como caso de estudo obrigatorio em modelagem de ameaças. **Setores historicamente impactados:** [[critical-infrastructure|infraestrutura critica]] - [[energy|energia]] - [[manufacturing|manufatura]] - [[technology|tecnologia]] ## Detecção - Monitorar execução de `vssadmin delete shadows` e `bcdedit /set recoveryenabled no` por processos nao administrativos - Detectar conexoes de saida em volume de servidores ESXi para IPs externos - sinal de exfiltração pre-criptografia - Alertar para desativacao de servicos em lote via `net stop` ou `sc stop` cobrindo mais de 10 servicos em sequencia - Verificar erros de autenticação em massa em sistemas RDP expostos - vetor primario de acesso do DarkSide ```sigma title: DarkSide Pre-Encryption Defense Evasion status: stable logsource: category: process_creation product: windows detection: selection_vss: CommandLine|contains: - 'vssadmin delete shadows' - 'bcdedit /set recoveryenabled no' - 'wbadmin delete catalog' selection_stop: Image|endswith: '\net.exe' CommandLine|contains: 'stop' timeframe_stop: 5m condition: selection_vss or (selection_stop | count() > 10) level: critical tags: - attack.impact - attack.t1490 - attack.t1562.001 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0622) MITRE ATT&CK - S0622 DarkSide (2024) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-131a) CISA/FBI - AA21-131A DarkSide Ransomware (2021) - [3](https://www.crowdstrike.com/blog/darkside-ransomware-technical-analysis/) CrowdStrike - DarkSide Ransomware Technical Analysis (2021) - [4](https://www.mandiant.com/resources/blog/shining-a-light-on-darkside-ransomware-operations) Mandiant - DarkSide Ransomware Operations (2021) - [5](https://thedfirreport.com/2021/11/15/exchange-exploit-leads-to-domain-wide-ransomware/) DFIR Report - Exchange Exploit to DarkSide Ransomware (2021)