Grupo DarkSide ransomware explicado

Introdução ao DarkSide

Descoberto pela primeira vez em agosto de 2020, o grupo é supostamente composto por cibercriminosos experientes de vários grupos de ransomware. DarkSide é um participante recente no espaço Ransomware as a Service (RaaS), onde desenvolve ransomware e o vende para outros cibercriminosos.

Isso possibilita que os cibercriminosos se especializem em determinadas áreas. O grupo DarkSide se concentra no desenvolvimento e melhoria de seu malware, enquanto seus clientes se especializam em obter acesso à rede alvo e entregar o malware a sistemas críticos ou valiosos dentro deles.

The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.

Como funciona o ransomware DarkSide

O grupo de ransomware DarkSide realiza ataques altamente direcionados. O grupo se diz apolítico e tem como foco ganhar dinheiro, mas não quer causar problemas para a sociedade. Como parte disso, o grupo publicou uma lista do que considera “alvos aceitáveis” para ataque.

Depois que o ransomware DarkSide obtém acesso a um ambiente alvo, ele começa coletando e exfiltrando dados confidenciais e valiosos da empresa. Isso ocorre porque o DarkSide realiza ataques de “dupla extorsão”, onde as vítimas que não pagam o resgate para descriptografar seus arquivos são ameaçadas com a exposição de seus dados, a menos que a demanda seja atendida. O grupo DarkSide mantém um site chamado DarkSide Leaks, onde publicam os dados dos alvos que se recusam a pagar o resgate.

Depois de roubar os dados e criptografar os computadores infectados, o grupo DarkSide envia um pedido de resgate adaptado ao alvo específico. Com base no tamanho e nos recursos da empresa-alvo, os pedidos de resgate podem variar de US$ 200.000 a US$ 20 milhões. Para aumentar a chance de retorno, o grupo DarkSide realiza pesquisas aprofundadas em uma empresa para identificar os principais tomadores de decisão e maximizar o resgate exigido, garantindo ao mesmo tempo que ele está dentro da capacidade de pagamento da organização-alvo.

Como fornecedor de RaaS, o grupo DarkSide se concentra em melhorar seu malware para torná-lo mais eficaz e mais difícil de detectar e bloquear. Para tanto, o grupo lançou recentemente uma versão 2.0 do malware, que está em uso ativo em suas campanhas de ataque.

Gerenciando a ameaça do ransomware

The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.

Com um número crescente de grupos obtendo acesso a ransomware sofisticado, a prevenção contra ransomware é um componente crucial da estratégia de segurança cibernética de qualquer organização.

Mitigar a ameaça do ransomware requer a implementação de certas práticas recomendadas, como:

• Treinamento de conscientização: uma alta porcentagem de ransomware é entregue por meio de phishing e outros ataques de engenharia social. Treinar os funcionários para reconhecer e responder adequadamente a e-mails suspeitos é essencial para mitigar a ameaça que eles representam.
• Backups de dados: o ransomware foi projetado para criptografar dados, forçando uma organização a pagar um resgate para recuperar o acesso. A criação de backups de dados frequentes minimiza a potencial perda de dados causada por um ataque de ransomware.
• Gerenciamento de patches: algumas variantes de ransomware se espalham explorando vulnerabilidades não corrigidas nos sistemas de uma organização. A instalação imediata de atualizações pode ajudar a preencher essas lacunas antes que possam ser exploradas por um invasor.
• Autenticação multifatorial: Credenciais de usuário comprometidas são usadas com RDP ou VPNs para obter acesso e plantar malware em computadores corporativos. A implementação da Autenticação multifatorial (MFA) pode limitar os riscos de senhas fracas ou violadas.

Segurança da endpoint: o ransomware pode obter acesso aos computadores de uma organização de várias maneiras. Uma solução de Segurança de endpoint com recursos anti-ransomware pode ajudar a detectar e eliminar infecções por ransomware e minimizar os danos incorridos.

Protecting Against Ransomware with Check Point Endpoint Security

Check Point’s Check Point Endpoint Security is a full-featured endpoint security solution that provides robust protection against ransomware attacks. In the latest MITRE Engenuity ATT&CK evaluation, Check Point Endpoint Security detected all attack techniques used in the test, demonstrating its ability to provide comprehensive protection against modern cyber threats, including ransomware attacks.

Check Point Endpoint Security enables organizations to proactively detect ransomware infections within their environments. To learn about threat hunting with Check Point Endpoint Security, watch this video. Additionally, see how Check Point Endpoint Security can be used to identify Maze ransomware infections in this video.

To learn more about Check Point Endpoint Security’s capabilities, check out the solution brief. You’re also welcome to see Check Point Endpoint Security in action with a personalized demo and try it out for yourself with a free trial.