Il Gruppo DarkSide ransomware spiega il motivo

Introduzione a DarkSide

Scoperto per la prima volta nell'agosto 2020, il gruppo è presumibilmente composto da criminali informatici esperti provenienti da vari gruppi di ransomware. DarkSide è una recente entrata nello spazio Ransomware as a Service (RaaS), dove sviluppa ransomware e lo vende ad altri criminali informatici.

Questo rende possibile ai criminali informatici di specializzarsi in determinate aree. Il gruppo DarkSide si concentra sullo sviluppo e sul miglioramento del proprio malware, mentre i suoi clienti si specializzano nell'ottenere l'accesso alle reti target e nel consegnare il malware ai sistemi critici o di valore al loro interno.

The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.

Come funziona DarkSide ransomware

Il gruppo di ransomware DarkSide esegue attacchi altamente mirati. Il gruppo sostiene di essere apolitico e si concentra sul guadagno, ma non vuole causare problemi alla società. Come parte di questo, il gruppo ha pubblicato un elenco di quelli che considera "obiettivi accettabili" per gli attacchi.

Una volta che il ransomware DarkSide ottiene l'accesso a un ambiente target, inizia a raccogliere ed esfiltrare dati sensibili e preziosi dall'azienda. Questo perché DarkSide esegue attacchi di "doppia estorsione", in cui le vittime che non pagano il riscatto per decriptare i loro file vengono minacciate di esporre i loro dati a meno che la richiesta non venga soddisfatta. Il gruppo DarkSide gestisce un sito web chiamato DarkSide Leaks dove pubblica i dati degli obiettivi che si rifiutano di pagare il riscatto.

Dopo aver rubato i dati e crittografato i computer infetti, il gruppo DarkSide invia una richiesta di riscatto su misura per il particolare obiettivo. In base alle dimensioni e alle risorse dell'azienda bersaglio, le richieste di riscatto possono variare da 200.000 a 20 milioni di dollari. Per aumentare la possibilità di ottenere un pagamento, il gruppo DarkSide esegue ricerche approfondite su un'azienda per identificare i decisori chiave e per massimizzare il riscatto richiesto, assicurandosi che rientri nella capacità di pagamento dell'organizzazione bersaglio.

In qualità di fornitore RaaS, il gruppo DarkSide si concentra sul miglioramento del proprio malware per renderlo più efficace e più difficile da rilevare e bloccare. A tal fine, il gruppo ha recentemente rilasciato una versione 2.0 del malware, che viene utilizzata attivamente nelle sue campagne di attacco.

Gestire la minaccia del ransomware

The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.

Con un numero crescente di gruppi che ottengono accesso a sofisticati ransomware, la prevenzione dei ransomware è una componente cruciale della strategia di cybersicurezza di qualsiasi organizzazione.

Per mitigare la minaccia del ransomware è necessario implementare alcune best practice, come ad esempio:

• Formazione di sensibilizzazione: Un'alta percentuale di ransomware viene trasmessa attraverso il phishing e altri attacchi di ingegneria sociale. Formare i dipendenti a riconoscere e a rispondere correttamente alle e-mail sospette è essenziale per mitigare la minaccia che esse rappresentano.
• Backup dei dati: Il ransomware è progettato per criptare i dati, costringendo l'organizzazione a pagare un riscatto per riottenere l'accesso. La creazione di frequenti backup dei dati riduce al minimo la potenziale perdita di dati causata da un attacco ransomware.
• Gestione delle patch: Alcune varianti di ransomware si diffondono sfruttando vulnerabilità non patchate nei sistemi di un'organizzazione. L'installazione tempestiva degli aggiornamenti può aiutare a colmare queste lacune prima che possano essere sfruttate da un aggressore.
• autenticazione a più fattori: le credenziali utente compromesse vengono utilizzate con RDP o VPN per ottenere l'accesso ai computer aziendali e per installare malware. L'implementazione dell'autenticazione a più fattori (MFA) può limitare i rischi di password deboli o violate.

Sicurezza degli Endpoint: Il ransomware può accedere ai computer di un'organizzazione in vari modi. Una soluzione Endpoint Security con funzionalità anti-ransomware può aiutare a rilevare ed eliminare le infezioni da ransomware e a minimizzare i danni subiti.

Protecting Against Ransomware with Check Point Endpoint Security

Check Point’s Check Point Endpoint Security is a full-featured endpoint security solution that provides robust protection against ransomware attacks. In the latest MITRE Engenuity ATT&CK evaluation, Check Point Endpoint Security detected all attack techniques used in the test, demonstrating its ability to provide comprehensive protection against modern cyber threats, including ransomware attacks.

Check Point Endpoint Security enables organizations to proactively detect ransomware infections within their environments. To learn about threat hunting with Check Point Endpoint Security, watch this video. Additionally, see how Check Point Endpoint Security can be used to identify Maze ransomware infections in this video.

To learn more about Check Point Endpoint Security’s capabilities, check out the solution brief. You’re also welcome to see Check Point Endpoint Security in action with a personalized demo and try it out for yourself with a free trial.