DarkSide logiciel rançonneur Group expliqué

Introduction à DarkSide

Découvert pour la première fois en août 2020, le groupe est censé être composé de cybercriminels expérimentés issus de divers groupes de logiciels rançonneurs. DarkSide est un nouveau venu dans le domaine du logiciel rançonneur en tant que service (RaaS), où il développe des logiciels rançonneur et les vend à d'autres cybercriminels.

Cela permet aux cybercriminels de se spécialiser dans certains domaines. Le groupe DarkSide se concentre sur le développement et l'amélioration de son logiciel malveillant, tandis que ses clients se spécialisent dans l'accès au réseau cible et la livraison du logiciel malveillant aux systèmes critiques ou de valeur qui s'y trouvent.

The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.

Comment fonctionne le logiciel rançonneur DarkSide

Le groupe DarkSide logiciel rançonneur mène des attaques très ciblées. Le groupe se dit apolitique et cherche à gagner de l'argent, mais ne veut pas causer de problèmes à la société. Dans ce cadre, le groupe a publié une liste de ce qu'il considère comme des "cibles acceptables" pour des attaques.

Une fois que le DarkSide logiciel rançonneur a accédé à un environnement cible, il commence par collecter et exfiltrer des données sensibles et précieuses de l'entreprise. En effet, DarkSide effectue des attaques de "double extorsion", où les victimes qui ne paient pas la rançon pour décrypter leurs fichiers sont menacées de voir leurs données exposées si la demande n'est pas satisfaite. Le groupe DarkSide gère un site web appelé DarkSide Leaks où il publie les données des cibles qui refusent de payer la rançon.

Après avoir volé les données et chiffré les ordinateurs infectés, le groupe DarkSide envoie une demande de rançon adaptée à la cible. En fonction de la taille et des ressources de l'entreprise cible, les demandes de rançon peuvent varier de 200 000 à 20 millions de dollars. Pour augmenter ses chances de succès, le groupe DarkSide effectue des recherches approfondies sur une entreprise afin d'identifier les principaux décideurs et de maximiser le montant de la rançon demandée tout en s'assurant que l'organisation cible est en mesure de la payer.

En tant que fournisseur de RaaS, le groupe DarkSide se concentre sur l'amélioration de son logiciel malveillant afin de le rendre plus efficace et plus difficile à détecter et à bloquer. À cette fin, le groupe a récemment publié une version 2.0 du logiciel malveillant, qui est activement utilisé dans ses campagnes d'attaque.

Gérer la menace du logiciel rançonneur

The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.

Avec un nombre croissant de groupes ayant accès à des logiciels rançonneurs sophistiqués, la prévention des logiciels rançonneurs est un élément crucial de la stratégie de cybersécurité de toute organisation.

L'atténuation de la menace que représente le logiciel rançonneur passe par la mise en œuvre de certaines bonnes pratiques, telles que

• Formation de sensibilisation : Un pourcentage élevé de logiciels rançonneur est diffusé par hameçonnage et autres attaques d'ingénierie sociale. Il est essentiel de former les employés à reconnaître les courriels suspects et à y répondre correctement afin d'atténuer la menace qu'ils représentent.
• Sauvegardes de données : le logiciel rançonneur est conçu pour crypter les données, ce qui oblige l'entreprise à payer une rançon pour y accéder à nouveau. La création de sauvegardes fréquentes des données minimise la perte potentielle de données causée par une attaque du logiciel rançonneur.
• Gestion des correctifs : Certaines variantes du logiciel rançonneur se propagent en exploitant des vulnérabilités non corrigées dans les systèmes d'une organisation. L'installation rapide des mises à jour peut contribuer à combler ces lacunes avant qu'elles ne soient exploitées par un pirate.
• authentification multi-facteurs : Des informations d'identification compromises sont utilisées avec RDP ou VPN pour accéder aux ordinateurs de l'entreprise et y planter des logiciels malveillants. La mise en œuvre d'une authentification multifacteurs (MFA) peut limiter les risques liés à des mots de passe faibles ou non respectés.

Sécurité des postesLe logiciel rançonneur peut accéder aux ordinateurs d'une organisation de différentes manières. Une solution de Sécurité des postes dotée de capacités anti-logiciel rançonneur peut aider à détecter et à éliminer les infections du logiciel rançonneur et à minimiser les dommages subis.

Protecting Against Ransomware with Check Point Endpoint Security

Check Point’s Check Point Endpoint Security is a full-featured endpoint security solution that provides robust protection against ransomware attacks. In the latest MITRE Engenuity ATT&CK evaluation, Check Point Endpoint Security detected all attack techniques used in the test, demonstrating its ability to provide comprehensive protection against modern cyber threats, including ransomware attacks.

Check Point Endpoint Security enables organizations to proactively detect ransomware infections within their environments. To learn about threat hunting with Check Point Endpoint Security, watch this video. Additionally, see how Check Point Endpoint Security can be used to identify Maze ransomware infections in this video.

To learn more about Check Point Endpoint Security’s capabilities, check out the solution brief. You’re also welcome to see Check Point Endpoint Security in action with a personalized demo and try it out for yourself with a free trial.