Darkside Ransomware sempat membuat kehebohan dengan melakukan serangan pada Colonial Pipeline . Serangan ini sempat menghentikan pasokan minyak di pantai timur Amerika pada tahun 2021. Ransomware ini sebenarnya telah beroperasi sejak agustus 2020. Darkside ditawarkan sebagak layanan oleh berbagai kelompok cybercrime.
Peneliti keamanan dari Flashpoint menduga ransomware ini dibuat oleh kelompok dari rusia, dan diduga memiliki hubungan dengan REvil Raas (ransomware as a service)
Ada sebuah hasil analisa yang menarik dari Chuong dari Georgia Tech tentang ransomware ini. Menurut dia Darkside menggunakan algoritma aPLib untuk melakukan kompresi konfigurasinya dan menggunakan skema kriptografi hybrid RSA-1024 dan Salsa20 untuk mengenkrip file dan kuncinya. Darkside menggunakan teknik obfuscation serta privilege escalation dan enkrpsi. Namun proses enkripsinya relatif lebih lambat dibandingkan ransomware lain seperti Babuk atau Conti. Hal ini karena Darkside menggunakan teknik recursive file traversal.
Hasil analisa lengkapnya bisa dilihat pada link berikut:
https://chuongdong.com//reverse%20engineering/2021/05/06/DarksideRansomware/
Tentang ransomware darkside:
https://blog.qualys.com/vulnerabilities-threat-research/2021/06/09/darkside-ransomware
https://unit42.paloaltonetworks.com/darkside-ransomware/
Sampel: