Introducción a DarkSide
Descubierto por primera vez en agosto de 2020, el grupo supuestamente está formado por ciberdelincuentes experimentados de varios grupos de ransomware. DarkSide es un recién llegado al espacio del Ransomware como Servicio (RaaS), donde desarrollan ransomware y lo venden a otros ciberdelincuentes.
Esto hace posible que los ciberdelincuentes se especialicen en ciertas áreas. El grupo DarkSide se centra en desarrollar y mejorar su malware, mientras que sus clientes se especializan en obtener acceso al objetivo rojo y entregar el malware a sistemas críticos o valiosos dentro de ellos.
The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.
Cómo funciona el ransomware DarkSide
El grupo de ransomware DarkSide realiza ataques altamente dirigidos. El grupo afirma ser apolítico y está enfocado en ganar dinero, pero no quiere causar problemas a la sociedad. Como parte de esto, el grupo ha publicado una lista de lo que considera “objetivos aceptables” para el ataque.
Una vez que el ransomware DarkSide obtiene acceso a un entorno de destino, comienza recopilando y extrayendo datos confidenciales y valiosos de la empresa. Esto se debe a que DarkSide realiza ataques de “doble extorsión”, donde las víctimas que no pagan el rescate para descifrar sus archivos se ven amenazadas con la exposición de sus datos a menos que se satisfaga la demanda. El grupo DarkSide mantiene un sitio web llamado DarkSide Leaks donde publican los datos de esos objetivos que se niegan a pagar el rescate.
Después de robar los datos y cifrar las computadoras infectadas, el grupo DarkSide envía una demanda de rescate adaptada al objetivo en particular. Según el tamaño y los recursos de la compañía objetivo, las demandas de rescate pueden variar de $200,000 a $20 millones. Para aumentar sus posibilidades de obtener un pago, el grupo DarkSide realiza una investigación en profundidad sobre una empresa para identificar a los principales responsables de la toma de decisiones y maximizar el rescate exigido mientras se asegura de que esté dentro de la capacidad de pago de la organización objetivo.
Como proveedor de RaaS, el grupo DarkSide se centra en mejorar su malware para hacerlo más eficaz y más difícil de detectar y bloquear. Con este fin, el grupo lanzó recientemente una versión 2.0 del malware, que está en uso activo en sus campañas de ataque.
Gestión de la amenaza de ransomware
The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.
Dado que un número cada vez mayor de grupos obtienen acceso a ransomware sofisticado, la prevención del ransomware es un componente crucial de la estrategia de ciberseguridad de cualquier organización.
Mitigar la amenaza del ransomware requiere implementar ciertas mejores prácticas, como:
- Capacitación de concientización: un alto porcentaje de ransomware se entrega mediante phishing y otros ataques de ingeniería social. Capacitar a los empleados para que reconozcan y respondan adecuadamente a los correos electrónicos sospechosos es esencial para mitigar la amenaza que representan.
- Copias de seguridad de datos: el ransomware está diseñado para cifrar datos, lo que obliga a una organización a pagar un rescate para recuperar el acceso. La creación de copias de seguridad de datos frecuentes minimiza la posible pérdida de datos causada por un ataque de ransomware.
- Gestión de parches: algunas variantes de ransomware se propagan aprovechando vulnerabilidades sin parches en los sistemas de una organización. La instalación inmediata de actualizaciones puede ayudar a cerrar estas brechas antes de que puedan ser explotadas por un atacante.
- autenticación de múltiples factores: Las credenciales de usuario comprometidas se utilizan con RDP o VPN para obtener acceso e instalar malware en las computadoras corporativas. La implementación de autenticación de múltiples factores (MFA) puede limitar los riesgos de contraseñas débiles o violadas.
seguridad de terminales: El ransomware puede obtener acceso a las computadoras de una organización de varias maneras. Una solución de seguridad de terminales con capacidades anti-ransomware puede ayudar a detectar y eliminar infecciones de ransomware y minimizar el daño ocasionado.
Protección contra ransomware con Harmony Endpoint
Harmony Endpoint de Check Point es una solución de seguridad de terminales con todas las funciones que proporciona una protección sólida contra ataques de ransomware. En la última Evaluación MITRE Engenuity ATT&CK, Harmony Endpoint detectó todas las técnicas de ataque utilizadas en la prueba, lo que demuestra su capacidad para brindar protección integral contra las amenazas cibernéticas modernas, incluidos los ataques de ransomware.
Harmony Endpoint permite a las organizaciones detectar de forma proactiva infecciones de ransomware dentro de sus entornos. Para obtener más información sobre la búsqueda de amenazas con Harmony Endpoint, mire este vídeo. Además, vea cómo se puede utilizar Harmony Endpoint para identificar infecciones de ransomware Maze en este vídeo.
Para obtener más información sobre las capacidades de Harmony Endpoint, consulte el resumen de la solución. También puede ver Harmony Endpoint en acción con una demostración personalizada y probarlo usted mismo con una prueba gratuita.
Comentarios