DarkSide | Nível de ameaça: critical | Tipo: Ransomware

Identificadores criptográficos

SHA2562de09a815efcc64810046de69b8e0aa1c9e9beee77b66560a0b15d737485e3c5
MD59b5350ddf895a5051b90a1cc563753df
Tipo de arquivoexe
Tamanho56.0 KB
Primeira detecção2021-05-19
Nome do arquivo9b5350dd_by_Libranalysis
TagsDarkSide

Família de malware: DarkSide

DarkSide, Colonial Pipeline saldırısından sorumludur.

TipoRansomware
Linguagem de programaçãoC++
Plataforma alvoWindows/Linux
Protocolo C2
FinalidadeColonial Pipeline
Ano da primeira detecção2020

Indicadores de ameaça (IOC)

  • SHA256: 2de09a815efcc64810046de69b8e0aa1c9e9beee77b66560a0b15d737485e3c5
  • MD5: 9b5350ddf895a5051b90a1cc563753df

Você pode verificar todos os valores de hash desta amostra no VirusTotal.

Guia de limpeza do sistema

  1. Sistemi ağdan DERHAL ayırın — diğer cihazlara yayılmayı durdurun
  2. Não pague o resgate — não há garantia de recuperar os arquivos
  3. Coloque as unidades afetadas em quarentena
  4. Kullanılan fidye yazılımı ailesini belirleyin (nomoreransom.org)
  5. Experimente as ferramentas de descriptografia disponíveis (projeto NoMoreRansom)
  6. Comunique o incidente às autoridades (unidade de crimes cibernéticos)
  7. Temiz bir yedekten kurtarın; yedeğiniz yoksa sürücüyü saklayın

Dicas de regras YARA

rule DarkSide_SHA256 {
    meta:
        description = "DarkSide sample: 2de09a815efcc648"
        threat_level = "critical"
        first_seen = "2021-05-19"
    condition:
        hash.sha256(0, filesize) == "2de09a815efcc64810046de69b8e0aa1c9e9beee77b66560a0b15d737485e3c5"
}

DarkSide — Perfil do malware

DarkSide, 2020-2021 aktif RaaS ailesidir. Colonial Pipeline saldırısı. Linux ESXi versiyonu. Çifte gaspatma.

Tipo de malware
Ransomware
Linguagem de programação
C++
Protocolo C2
Sistemas-alvo
Windows/Linux

Capacidades e comportamento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Lista IOC (2 indicadores)

IOC — DarkSide
# SHA256 2de09a815efcc64810046de69b8e0aa1c9e9beee77b66560a0b15d737485e3c5 # MD5 9b5350ddf895a5051b90a1cc563753df
TipoValorNota
sha256 2de09a815efcc64810046de69b8e0aa1c9e9beee77b66560a0b15d737485e3c5 Sample:DarkSide
md5 9b5350ddf895a5051b90a1cc563753df Sample:DarkSide
Tags
darksideransomwaremalwarecriticalsha256hash-analizi