Il Gruppo DarkSide ransomware spiega il motivo

DarkSide è un gruppo di ransomware relativamente nuovo che è stato responsabile di attacchi di alto profilo come l'hack di Colonial Pipeline nel maggio 2021. Questo gruppo sviluppa ransomware da utilizzare da altri gruppi di hacker in attacchi molto mirati, permettendo a DarkSide di avere una portata maggiore e fornendo a questi altri gruppi l'accesso a ransomware sofisticati e mantenuti attivamente.

Parli con un esperto Scopri di più

Introduzione a DarkSide

Scoperto per la prima volta nell'agosto 2020, il gruppo è presumibilmente composto da criminali informatici esperti provenienti da vari gruppi di ransomware. DarkSide è una recente entrata nello spazio Ransomware as a Service (RaaS), dove sviluppa ransomware e lo vende ad altri criminali informatici.

Questo rende possibile ai criminali informatici di specializzarsi in determinate aree. Il gruppo DarkSide si concentra sullo sviluppo e sul miglioramento del proprio malware, mentre i suoi clienti si specializzano nell'ottenere l'accesso alle reti target e nel consegnare il malware ai sistemi critici o di valore al loro interno.

The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.

Come funziona DarkSide ransomware

Il gruppo di ransomware DarkSide esegue attacchi altamente mirati. Il gruppo sostiene di essere apolitico e si concentra sul guadagno, ma non vuole causare problemi alla società. Come parte di questo, il gruppo ha pubblicato un elenco di quelli che considera "obiettivi accettabili" per gli attacchi.

Una volta che il ransomware DarkSide ottiene l'accesso a un ambiente target, inizia a raccogliere ed esfiltrare dati sensibili e preziosi dall'azienda. Questo perché DarkSide esegue attacchi di "doppia estorsione", in cui le vittime che non pagano il riscatto per decriptare i loro file vengono minacciate di esporre i loro dati a meno che la richiesta non venga soddisfatta. Il gruppo DarkSide gestisce un sito web chiamato DarkSide Leaks dove pubblica i dati degli obiettivi che si rifiutano di pagare il riscatto.

Dopo aver rubato i dati e crittografato i computer infetti, il gruppo DarkSide invia una richiesta di riscatto su misura per il particolare obiettivo. In base alle dimensioni e alle risorse dell'azienda bersaglio, le richieste di riscatto possono variare da 200.000 a 20 milioni di dollari. Per aumentare la possibilità di ottenere un pagamento, il gruppo DarkSide esegue ricerche approfondite su un'azienda per identificare i decisori chiave e per massimizzare il riscatto richiesto, assicurandosi che rientri nella capacità di pagamento dell'organizzazione bersaglio.

In qualità di fornitore RaaS, il gruppo DarkSide si concentra sul miglioramento del proprio malware per renderlo più efficace e più difficile da rilevare e bloccare. A tal fine, il gruppo ha recentemente rilasciato una versione 2.0 del malware, che viene utilizzata attivamente nelle sue campagne di attacco.

Gestire la minaccia del ransomware

The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.

Con un numero crescente di gruppi che ottengono accesso a sofisticati ransomware, la prevenzione dei ransomware è una componente cruciale della strategia di cybersicurezza di qualsiasi organizzazione.

Per mitigare la minaccia del ransomware è necessario implementare alcune best practice, come ad esempio:

  • Formazione di sensibilizzazione: Un'alta percentuale di ransomware viene trasmessa attraverso il phishing e altri attacchi di ingegneria sociale. Formare i dipendenti a riconoscere e a rispondere correttamente alle e-mail sospette è essenziale per mitigare la minaccia che esse rappresentano.
  • Backup dei dati: Il ransomware è progettato per criptare i dati, costringendo l'organizzazione a pagare un riscatto per riottenere l'accesso. La creazione di frequenti backup dei dati riduce al minimo la potenziale perdita di dati causata da un attacco ransomware.
  • Gestione delle patch: Alcune varianti di ransomware si diffondono sfruttando vulnerabilità non patchate nei sistemi di un'organizzazione. L'installazione tempestiva degli aggiornamenti può aiutare a colmare queste lacune prima che possano essere sfruttate da un aggressore.
  • autenticazione a più fattori: le credenziali utente compromesse vengono utilizzate con RDP o VPN per ottenere l'accesso ai computer aziendali e per installare malware. L'implementazione dell'autenticazione a più fattori (MFA) può limitare i rischi di password deboli o violate.

Sicurezza degli Endpoint: Il ransomware può accedere ai computer di un'organizzazione in vari modi. Una soluzione Endpoint Security con funzionalità anti-ransomware può aiutare a rilevare ed eliminare le infezioni da ransomware e a minimizzare i danni subiti.

Protezione contro il ransomware con Harmony Endpoint

Harmony Endpoint di Check Point è una soluzione Endpoint Security completa che offre una solida protezione contro gli attacchi ransomware. Nell'ultima valutazione MITRE Engenuity ATT&CK, Harmony Endpoint ha rilevato tutte le tecniche di attacco utilizzate nel test, dimostrando la sua capacità di fornire una protezione completa contro le moderne minacce informatiche, compresi gli attacchi ransomware.

Harmony Endpoint consente alle organizzazioni di rilevare in modo proattivo le infezioni da ransomware nei loro ambienti. Per conoscere la caccia alle minacce con Harmony Endpoint, guardi questo video. Inoltre, veda come Harmony Endpoint può essere utilizzato per identificare le infezioni da ransomware Maze in questo video.

Per saperne di più sulle funzionalità di Harmony Endpoint, consulti la scheda della soluzione. È inoltre invitato a vedere Harmony Endpoint in azione con una demo personalizzata e a provarlo personalmente con una prova gratuita.

Per iniziare

Anti-Ransomware

Protezione Endpoint

Harmony Endpoint demo

Protezione Zero Day

ransomware Hub

Argomenti correlati

Che cos'è il Ransomware?

ransomware come servizio (RaaS)

Come prevenire il ransomware​

Labirinto ransomware

CaroCry ransomware

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK