Introdução ao DarkSide
Descoberto pela primeira vez em agosto de 2020, o grupo é supostamente composto por cibercriminosos experientes de vários grupos de ransomware. DarkSide é um participante recente no espaço Ransomware as a Service (RaaS), onde desenvolve ransomware e o vende para outros cibercriminosos.
Isso possibilita que os cibercriminosos se especializem em determinadas áreas. O grupo DarkSide se concentra no desenvolvimento e melhoria de seu malware, enquanto seus clientes se especializam em obter acesso à rede alvo e entregar o malware a sistemas críticos ou valiosos dentro deles.
The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.
Como funciona o ransomware DarkSide
O grupo de ransomware DarkSide realiza ataques altamente direcionados. O grupo se diz apolítico e tem como foco ganhar dinheiro, mas não quer causar problemas para a sociedade. Como parte disso, o grupo publicou uma lista do que considera “alvos aceitáveis” para ataque.
Depois que o ransomware DarkSide obtém acesso a um ambiente alvo, ele começa coletando e exfiltrando dados confidenciais e valiosos da empresa. Isso ocorre porque o DarkSide realiza ataques de “dupla extorsão”, onde as vítimas que não pagam o resgate para descriptografar seus arquivos são ameaçadas com a exposição de seus dados, a menos que a demanda seja atendida. O grupo DarkSide mantém um site chamado DarkSide Leaks, onde publicam os dados dos alvos que se recusam a pagar o resgate.
Depois de roubar os dados e criptografar os computadores infectados, o grupo DarkSide envia um pedido de resgate adaptado ao alvo específico. Com base no tamanho e nos recursos da empresa-alvo, os pedidos de resgate podem variar de US$ 200.000 a US$ 20 milhões. Para aumentar a chance de retorno, o grupo DarkSide realiza pesquisas aprofundadas em uma empresa para identificar os principais tomadores de decisão e maximizar o resgate exigido, garantindo ao mesmo tempo que ele está dentro da capacidade de pagamento da organização-alvo.
Como fornecedor de RaaS, o grupo DarkSide se concentra em melhorar seu malware para torná-lo mais eficaz e mais difícil de detectar e bloquear. Para tanto, o grupo lançou recentemente uma versão 2.0 do malware, que está em uso ativo em suas campanhas de ataque.
Gerenciando a ameaça do ransomware
The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.
Com um número crescente de grupos obtendo acesso a ransomware sofisticado, a prevenção contra ransomware é um componente crucial da estratégia de segurança cibernética de qualquer organização.
Mitigar a ameaça do ransomware requer a implementação de certas práticas recomendadas, como:
- Treinamento de conscientização: uma alta porcentagem de ransomware é entregue por meio de phishing e outros ataques de engenharia social. Treinar os funcionários para reconhecer e responder adequadamente a e-mails suspeitos é essencial para mitigar a ameaça que eles representam.
- Backups de dados: o ransomware foi projetado para criptografar dados, forçando uma organização a pagar um resgate para recuperar o acesso. A criação de backups de dados frequentes minimiza a potencial perda de dados causada por um ataque de ransomware.
- Gerenciamento de patches: algumas variantes de ransomware se espalham explorando vulnerabilidades não corrigidas nos sistemas de uma organização. A instalação imediata de atualizações pode ajudar a preencher essas lacunas antes que possam ser exploradas por um invasor.
- Autenticação multifatorial: Credenciais de usuário comprometidas são usadas com RDP ou VPNs para obter acesso e plantar malware em computadores corporativos. A implementação da Autenticação multifatorial (MFA) pode limitar os riscos de senhas fracas ou violadas.
Segurança da endpoint: o ransomware pode obter acesso aos computadores de uma organização de várias maneiras. Uma solução de Segurança de endpoint com recursos anti-ransomware pode ajudar a detectar e eliminar infecções por ransomware e minimizar os danos incorridos.
Proteção contra ransomware com Harmony Endpoint
O Harmony Endpoint da Check Point é uma solução completa de segurança de endpoint que oferece proteção robusta contra ataques de ransomware. Na última Avaliação de MITRE Engenuity ATT&CK, o Harmony Endpoint detectou todas as técnicas de ataque utilizadas no teste, demonstrando sua capacidade de fornecer proteção abrangente contra ameaças cibernéticas modernas, incluindo ataques de ransomware.
O Harmony Endpoint permite que as organizações detectem proativamente infecções de ransomware em seus ambientes. Para saber mais sobre a caça a ameaças com o Harmony Endpoint, assista a este vídeo. Além disso, veja como o Harmony Endpoint pode ser usado para identificar infecções pelo ransomware Maze neste vídeo.
Para saber mais sobre os recursos do Harmony Endpoint, confira o resumo da solução. Você também pode ver o Harmony Endpoint em ação com uma demopersonalizada e experimentá-lo com uma avaliação gratuita.
Opinião