Explicación del grupo de ransomware DarkSide

Introducción a DarkSide

Descubierto por primera vez en agosto de 2020, el grupo supuestamente está formado por ciberdelincuentes experimentados de varios grupos de ransomware. DarkSide es un recién llegado al espacio del Ransomware como Servicio (RaaS), donde desarrollan ransomware y lo venden a otros ciberdelincuentes.

Esto hace posible que los ciberdelincuentes se especialicen en ciertas áreas. El grupo DarkSide se centra en desarrollar y mejorar su malware, mientras que sus clientes se especializan en obtener acceso al objetivo rojo y entregar el malware a sistemas críticos o valiosos dentro de ellos.

The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.

Cómo funciona el ransomware DarkSide

El grupo de ransomware DarkSide realiza ataques altamente dirigidos. El grupo afirma ser apolítico y está enfocado en ganar dinero, pero no quiere causar problemas a la sociedad. Como parte de esto, el grupo ha publicado una lista de lo que considera “objetivos aceptables” para el ataque.

Una vez que el ransomware DarkSide obtiene acceso a un entorno de destino, comienza recopilando y extrayendo datos confidenciales y valiosos de la empresa. Esto se debe a que DarkSide realiza ataques de “doble extorsión”, donde las víctimas que no pagan el rescate para descifrar sus archivos se ven amenazadas con la exposición de sus datos a menos que se satisfaga la demanda. El grupo DarkSide mantiene un sitio web llamado DarkSide Leaks donde publican los datos de esos objetivos que se niegan a pagar el rescate.

Después de robar los datos y cifrar las computadoras infectadas, el grupo DarkSide envía una demanda de rescate adaptada al objetivo en particular. Según el tamaño y los recursos de la compañía objetivo, las demandas de rescate pueden variar de $200,000 a $20 millones. Para aumentar sus posibilidades de obtener un pago, el grupo DarkSide realiza una investigación en profundidad sobre una empresa para identificar a los principales responsables de la toma de decisiones y maximizar el rescate exigido mientras se asegura de que esté dentro de la capacidad de pago de la organización objetivo.

Como proveedor de RaaS, el grupo DarkSide se centra en mejorar su malware para hacerlo más eficaz y más difícil de detectar y bloquear. Con este fin, el grupo lanzó recientemente una versión 2.0 del malware, que está en uso activo en sus campañas de ataque.

Gestión de la amenaza de ransomware

The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.

Dado que un número cada vez mayor de grupos obtienen acceso a ransomware sofisticado, la prevención del ransomware es un componente crucial de la estrategia de ciberseguridad de cualquier organización.

Mitigar la amenaza del ransomware requiere implementar ciertas mejores prácticas, como:

• Capacitación de concientización: un alto porcentaje de ransomware se entrega mediante phishing y otros ataques de ingeniería social. Capacitar a los empleados para que reconozcan y respondan adecuadamente a los correos electrónicos sospechosos es esencial para mitigar la amenaza que representan.
• Copias de seguridad de datos: el ransomware está diseñado para cifrar datos, lo que obliga a una organización a pagar un rescate para recuperar el acceso. La creación de copias de seguridad de datos frecuentes minimiza la posible pérdida de datos causada por un ataque de ransomware.
• Gestión de parches: algunas variantes de ransomware se propagan aprovechando vulnerabilidades sin parches en los sistemas de una organización. La instalación inmediata de actualizaciones puede ayudar a cerrar estas brechas antes de que puedan ser explotadas por un atacante.
• autenticación de múltiples factores: Las credenciales de usuario comprometidas se utilizan con RDP o VPN para obtener acceso e instalar malware en las computadoras corporativas. La implementación de autenticación de múltiples factores (MFA) puede limitar los riesgos de contraseñas débiles o violadas.

seguridad de terminales: El ransomware puede obtener acceso a las computadoras de una organización de varias maneras. Una solución de seguridad de terminales con capacidades anti-ransomware puede ayudar a detectar y eliminar infecciones de ransomware y minimizar el daño ocasionado.

Protecting Against Ransomware with Check Point Endpoint Security

Check Point’s Check Point Endpoint Security is a full-featured endpoint security solution that provides robust protection against ransomware attacks. In the latest MITRE Engenuity ATT&CK evaluation, Check Point Endpoint Security detected all attack techniques used in the test, demonstrating its ability to provide comprehensive protection against modern cyber threats, including ransomware attacks.

Check Point Endpoint Security enables organizations to proactively detect ransomware infections within their environments. To learn about threat hunting with Check Point Endpoint Security, watch this video. Additionally, see how Check Point Endpoint Security can be used to identify Maze ransomware infections in this video.

To learn more about Check Point Endpoint Security’s capabilities, check out the solution brief. You’re also welcome to see Check Point Endpoint Security in action with a personalized demo and try it out for yourself with a free trial.