Il ransomware DarkSide è un tipo di ransomware sviluppato dal gruppo di criminali informatici DarkSide. Il ransomware DarkSide cripta i file sui sistemi infetti, rendendoli inaccessibili fino al pagamento di un riscatto in criptovaluta.
Che cos’è DarkSide?
DarkSide è un gruppo di criminali informatici che utilizza il ransomware per attaccare le organizzazioni e offre Ransomware-as-a-service (RaaS) che consente ai clienti di noleggiare gli strumenti ransomware del gruppo. Armano gli hacker meno esperti per lanciare attacchi complessi alle organizzazioni, mentre DarkSide si prende una parte del pagamento del riscatto.
DarkSide è diventato famoso per le sue “tattiche di doppia estorsione”, in cui minaccia le vittime che si rifiutano di pagare le richieste di riscatto di vendere i loro dati sul mercato nero o di pubblicare le informazioni sensibili sul suo sito web DarkSide Leaks. Hanno rubato oltre 100 GB di dati e hanno raccolto circa 4 milioni di dollari di riscatto.
Uno degli attacchi DarkSide più famosi ha preso di mira Colonial Pipeline nel maggio 2021. Colonial Pipeline è un importante operatore di oleodotti negli Stati Uniti e, a causa dell’attacco di DarkSide, è stato costretto a interrompere temporaneamente le operazioni, causando una diffusa carenza di carburante e un aumento dei prezzi. La Colonial Pipeline avrebbe pagato un riscatto di 4,4 milioni di dollari.
Cosa è successo a DarkSide?
Dopo l’attacco di alto profilo al Colonial Pipeline nel 2021, DarkSide ha dovuto affrontare un maggiore controllo da parte delle forze dell’ordine internazionali. In risposta alle pressioni, il gruppo ha annunciato il ritiro dalle operazioni, facendo riferimento alla perdita di accesso alla sua infrastruttura e ai portafogli di criptovalute. Tuttavia, l’utilizzo del modello RaaS implica che quello che resta dei loro strumenti e delle loro tattiche può persistere attraverso altri gruppi di criminali informatici.
Come funziona DarkSide Ransomware?
Invece di utilizzare le e-mail di spear-phishing come i ransomware tradizionali, il ransomware DarkSide prende di mira le infrastrutture desktop virtuali. Una volta entrati, gli aggressori prendono il comando e il controllo utilizzando i protocolli di desktop remoto (RDP) sulla porta 443, instradati attraverso TOR per mascherare le loro attività.
I ransomware DarkSide sfruttano più comunemente due vulnerabilità: CVE-2019-5544, un exploit in OpenSLP, e CVE-2020-3992, una vulnerabilità in VMware. Per entrambe le vulnerabilità esistono patch risolutive, ma le organizzazioni che non utilizzano un software di gestione delle patch potrebber ancora disporre delle vecchie versioni che offrono al ransomeware DarkSide un punto di attacco.
Come difendere i tuoi dispositivi da DarkSide Ransomware
-
Utilizza i backup
Mantieni backup regolari dei dati critici per garantire che nessun file vada perso durante un attacco ransomware DarkSide. Un software di backup per il recupero di ransomware protegge i dati di un’organizzazione utilizzando la crittografia per i dati in transito e in stato di archiviazione, l’autenticazione a più fattori (MFA) e chiavi di autorizzazione revocabili. Con uno strumento per il ripristino da ransomware, i tecnici possono ripristinare rapidamente tutti i file crittografati dal ransomware DarkSide.
-
Gestione delle patch
Mantenere il software costantemente aggiornato garantisce che le vulnerabilità non possano essere sfruttate dal ransomware. Assicurandoti che il processo di gestione delle patch della tua organizzazione rimanga coerente e affidabile, puoi impedire al ransomware DarkSide di sfruttare le vulnerabilità e di accedere ai sistemi e alle reti.
-
Utilizza la segmentazione della rete
La visibilità della rete consente di individuare persone non autorizzate e di adottare misure proattive come l’impiego della segmentazione, per contenere le potenziali violazioni e limitare l’accesso tra le diverse parti della rete. Un software di monitoraggio e gestione da remoto (RMM) con monitoraggio della rete può consentire al team IT di affrontare gli attacchi ransomware.
Migliorare la sicurezza informatica contro il ransomware
Con il passaggio di un numero sempre maggiore di aziende a configurazioni di lavoro remote o ibride, il ransomware DarkSide rappresenta una minaccia sempre maggiore. Comprendendo la minaccia rappresentata dal ransomware DarkSide, i professionisti della sicurezza informatica possono adottare misure proattive per proteggere la propria infrastruttura IT.
L’impiego di patch coerenti rimuove le vulnerabilità che potrebbero essere potenziali vettori di attacco. Ma i team IT dovrebbero cercare non solo di prevenire gli attacchi, ma anche di garantire la continuità aziendale in caso di attacco ransomware Darkside attraverso una soluzione affidabile di backup e recupero dati . Alcuni software di gestione completa degli endpoint, come NinjaOne, offrono tutti questi strumenti per salvaguardare i dati, ridurre i rischi e minimizzare i tempi di inattività dovuti ad attacchi ransomware.
