DarkSide est un groupe de logiciel rançonneur relativement récent qui a été responsable d'attaques très médiatisées telles que le piratage de Colonial Pipeline en mai 2021. Ce groupe développe des logiciels rançonneur destinés à être utilisés par d'autres groupes de pirates informatiques dans le cadre d'attaques très ciblées, ce qui permet à DarkSide d'avoir une plus grande portée et à ces autres groupes d'avoir accès à des logiciels rançonneur sophistiqués et activement entretenus.
Découvert pour la première fois en août 2020, le groupe est censé être composé de cybercriminels expérimentés issus de divers groupes de logiciels rançonneurs. DarkSide est un nouveau venu dans le domaine du logiciel rançonneur en tant que service (RaaS), où il développe des logiciels rançonneur et les vend à d'autres cybercriminels.
Cela permet aux cybercriminels de se spécialiser dans certains domaines. Le groupe DarkSide se concentre sur le développement et l'amélioration de son logiciel malveillant, tandis que ses clients se spécialisent dans l'accès au réseau cible et la livraison du logiciel malveillant aux systèmes critiques ou de valeur qui s'y trouvent.
The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.
Le groupe DarkSide logiciel rançonneur mène des attaques très ciblées. Le groupe se dit apolitique et cherche à gagner de l'argent, mais ne veut pas causer de problèmes à la société. Dans ce cadre, le groupe a publié une liste de ce qu'il considère comme des "cibles acceptables" pour des attaques.
Une fois que le DarkSide logiciel rançonneur a accédé à un environnement cible, il commence par collecter et exfiltrer des données sensibles et précieuses de l'entreprise. En effet, DarkSide effectue des attaques de "double extorsion", où les victimes qui ne paient pas la rançon pour décrypter leurs fichiers sont menacées de voir leurs données exposées si la demande n'est pas satisfaite. Le groupe DarkSide gère un site web appelé DarkSide Leaks où il publie les données des cibles qui refusent de payer la rançon.
Après avoir volé les données et chiffré les ordinateurs infectés, le groupe DarkSide envoie une demande de rançon adaptée à la cible. En fonction de la taille et des ressources de l'entreprise cible, les demandes de rançon peuvent varier de 200 000 à 20 millions de dollars. Pour augmenter ses chances de succès, le groupe DarkSide effectue des recherches approfondies sur une entreprise afin d'identifier les principaux décideurs et de maximiser le montant de la rançon demandée tout en s'assurant que l'organisation cible est en mesure de la payer.
En tant que fournisseur de RaaS, le groupe DarkSide se concentre sur l'amélioration de son logiciel malveillant afin de le rendre plus efficace et plus difficile à détecter et à bloquer. À cette fin, le groupe a récemment publié une version 2.0 du logiciel malveillant, qui est activement utilisé dans ses campagnes d'attaque.
The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.
Avec un nombre croissant de groupes ayant accès à des logiciels rançonneurs sophistiqués, la prévention des logiciels rançonneurs est un élément crucial de la stratégie de cybersécurité de toute organisation.
L'atténuation de la menace que représente le logiciel rançonneur passe par la mise en œuvre de certaines bonnes pratiques, telles que
Sécurité des postesLe logiciel rançonneur peut accéder aux ordinateurs d'une organisation de différentes manières. Une solution de Sécurité des postes dotée de capacités anti-logiciel rançonneur peut aider à détecter et à éliminer les infections du logiciel rançonneur et à minimiser les dommages subis.
Harmony Endpoint de Point de contrôle est une solution complète de sécurité des postes qui offre une protection solide contre les attaques du logiciel rançonneur. Lors de la dernière évaluation MITRE Engenuity ATT&CK, Harmony Endpoint a détecté toutes les techniques d'attaque utilisées dans le test, démontrant ainsi sa capacité à fournir une protection complète contre les cybermenaces modernes, y compris les attaques par logiciel rançonneur.
Harmony Endpoint permet aux entreprises de détecter de manière proactive les infections du logiciel rançonneur dans leurs environnements. Pour en savoir plus sur la chasse aux menaces avec Harmony Endpoint, regardez cette vidéo. En outre, découvrez dans cette vidéo comment Harmony Endpoint peut être utilisé pour identifier les infections Maze logiciel rançonneur.
Pour en savoir plus sur les capacités d'Harmony Endpoint, consultez la présentation de la solution. Vous pouvez également voir Harmony Endpoint en action grâce à une démo personnalisée et l'essayer par vous-même grâce à un essai gratuit.