Manuel Statik Analiz — DarkSide Ransomware | Tehdit: KRITIK

파일 Kimliği

SHA25605f9891bb4ca2b87cb65741b908cd570eb96575767e2c4a6d0b9e1c5f3a7b0d
크기450.048 byte
String Sayisi2.154

Linux ELF Kanıtı

state not recoverable   -- Linux GLIBC mutex hatası
too many files open     -- Linux dosya tanımlayıcı limiti
connection reset        -- Linux TCP sıfırlama hatası
-- GLIBC stringleri → Linux ELF binary (Windows PE değil)

Şifreleme Uzantıları

.CCC  -- Ransomware dosya uzantısı (PE section'da 10 referans)
.DDD  -- Ransomware dosya uzantısı (PE section'da 15 referans)
.CRT  -- Kriptografi/sertifika referansı (17 referans)

DarkSide Hakkında

DarkSide, 2020-2021 yılları arasında aktif olan RaaS ailesidir. Colonial Pipeline saldırısından (Mayıs 2021) sorumludur. Hem Windows hem Linux (ESXi) versiyonları mevcuttur. Çifte gaspatma yöntemi kullanır. ABD hükümetinin baskısı üzerine Mayıs 2021'de operasyonlarını askıya almıştır.

IOC

SHA25605f9891bb4ca2b87cb65741b908cd570eb96575767e2c4a6d0b9e1c5f3a7b0d
PlatformLinux ELF (ESXi hedefi)

DarkSide — 악성코드 프로필

DarkSide, 2020-2021 aktif RaaS ailesidir. Colonial Pipeline saldırısı. Linux ESXi versiyonu. Çifte gaspatma.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
대상 시스템
Windows/Linux

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — DarkSide
# SHA256 05f9891bb4ca2b87cb65741b908cd570eb96575767e2c4a6d0b9e1c5f3a7b0d
유형메모
sha256 05f9891bb4ca2b87cb65741b908cd570eb96575767e2c4a6d0b9e1c5f3a7b0d len=63
태그
darksideransomwarelinux-elfccc-ddd-extensionglibc