ll 7 maggio 2021, un attacco ransomware dal Darkside ha violato Colonial Pipeline, una delle più importanti società di oleodotti negli USA.
Provocando l’interruzione della fornitura di nafta, diesel e altri prodotti raffinati per una sezione di circa 8.850 chilometri. Secondo l’FBI, la persona responsabile di questo attacco è il ransomware DARKSIDE .
Cos’è DARKSIDE?
Dalla sua prima apparizione nell’agosto 2020, i creatori del ransomware DARKSIDE e dei loro affiliati hanno lanciato un’ondata di criminalità globale. Ha colpito organizzazioni in più di 15 paesi e molteplici settori verticali. Come molti dei loro colleghi, questi criminali informatici effettuano estorsioni sfaccettate in cui i dati sono invece esfiltrati e crittografati. Consentendo loro di richiedere il pagamento per lo sblocco e la non divulgazione dei dati rubati per esercitare maggiore pressione sulle vittime.
DARKSIDE ransomware funziona sotto forma di ransomware as a service (RaaS). I profitti sono condivisi tra i suoi proprietari e partner, o affiliati, che forniscono l’accesso alle organizzazioni e implementano il ransomware. Questi gruppi hanno dimostrato diversi livelli di sofisticazione tecnica durante le intrusioni. Sebbene gli aggressori informatici generalmente si affidassero a strumenti legittimi e disponibili in commercio per facilitare le varie fasi delle loro operazioni, almeno uno dei gruppi di minacce utilizzava anche una vulnerabilità zero-day ora apparentemente corretta.
A questo proposito, sono identificate più vittime di DARKSIDE. Con la maggior parte delle organizzazioni con sede negli USA e che abbracciano più settori. Tra cui finanziario, legale, manifatturiero, servizi professionali, vendita al dettaglio e tecnologia. Il numero di vittime nominate pubblicamente sul blog del gruppo di criminali informatici DARKSIDE è aumentato complessivamente da agosto 2020. La crescita complessiva del numero di vittime dimostra il crescente utilizzo di DARKSIDE ransomware da parte di più affiliati.
Un sistema collaudato
A partire dal novembre 2020, il cyber-attacco russo “darksupp”, ha annunciato DARKSIDE RaaS sui forum russi exploit.in e xss.is. Nell’aprile 2021, darksupp ha rilasciato un aggiornamento per RaaS “Darkside 2.0”. Includeva diverse nuove funzionalità e una descrizione dei tipi di partner e servizi che stavano cercando. Gli affiliati trattengono una percentuale della quota di riscatto di ciascuna vittima. Secondo gli annunci del forum, gli operatori RaaS prendono il 25% per commissioni di riscatto inferiori a $ 500.000. Ma questo scende al 10% per commissioni di riscatto superiori a $ 5 milioni.
Oltre a fornire compilazioni di DARKSIDE ransomware , gli operatori di questo servizio mantengono anche un blog accessibile tramite TOR. Il gruppo di criminali informatici utilizza questo sito per raggiungere le vittime. Nel tentativo di esercitare pressioni su queste organizzazioni affinché paghino per la non divulgazione dei dati rubati.
Un recente aggiornamento a un post di un forum clandestino indica inoltre che utilizzando le funzionalità dello stesso kit DARKSIDE, i criminali informatici possono tentare di prendere di mira le organizzazioni che sono state vittime di attacchi DDoS (Denial of Service). Tuttavia, darksupp ha dichiarato che agli affiliati è vietato prendere di mira ospedali, scuole, università, organizzazioni senza scopo di lucro ed enti del settore pubblico.
Come funziona il programma di affiliazione DARKSIDE?
Gli affiliati RaaS devono superare un colloquio al termine del quale viene fornito loro l’accesso a un pannello di amministrazione. All’interno di questo pannello, gli affiliati possono eseguire varie azioni. Come creare una build ransomware, specificare il contenuto per il blog DARKSIDE, gestire le vittime e contattare il supporto tecnico.
Un punto da notare è che le pubblicità pertinenti del gruppo di criminali informatici mirano a trovare fornitori di accesso iniziale o cyberattaccanti. Questo per essere in grado di implementare ransomware in accessi già ottenuti. Alcuni criminali informatici che affermano di utilizzare DARKSIDE si sarebbero anche associati ad altri programmi di affiliazione RaaS, tra cui BABUK e SODINOKIBI (noto anche come REvil).
Inoltre, i criminali informatici sono diventati più abili nel condurre operazioni di estorsione e questo successo ha contribuito direttamente al rapido aumento del numero di incidenti ransomware ad alto impatto negli ultimi anni. Gli operatori di ransomware hanno incorporato tattiche di estorsione aggiuntive progettate per aumentare la probabilità che le vittime acconsentano a pagare i prezzi del riscatto.
La tattica
Ad esempio, alla fine di aprile 2021, i trader di DARKSIDE hanno rilasciato una dichiarazione. Affermavano che avrebbero violato le organizzazioni quotate al NASDAQ e altri mercati azionari. In questo modo, hanno reso noto che sarebbero stati disposti a fornire dati ai trader di borsa sulle imminenti fughe di informazioni. Per consentire loro possibili guadagni dovuti al calo del prezzo delle azioni dopo una violazione annunciata.
Sulla base delle tendenze osservate, è un dato di fatto che le tattiche di estorsione utilizzate dai criminali informatici per fare pressione sulle vittime continueranno ad evolversi per tutto il 2021.
Avviso ransomware in Messico
Questi tipi di attacchi informatici sono sempre più numerosi, sofisticati, pericolosi e massicci. Secondo l’unità di ricerca SILIKN, in Messico, più della metà delle organizzazioni private e pubbliche ha subito un attacco di questo tipo durante il 2020. Si stima che durante il 2020 si sia verificato un attacco ransomware ogni 14 secondi. Entro l’inizio del 2021, si stima che questi attacchi appariranno ogni 10 secondi.
In Messico, il costo medio di riparazione per le organizzazioni per un attacco ransomware è di 470mila dollari . Se il riscatto viene pagato, è di 940mila dollari. Nel 2021, l’attacco in più rapida crescita in Messico sarà il ransomware e meno del 50% delle organizzazioni dispone di personale qualificato per affrontarlo. Nel 2020, il ransomware ha preso di mira principalmente il settore manifatturiero, le organizzazioni sanitarie e le società di costruzioni. Con un riscatto medio che ha raggiunto i 500.000 dollari, secondo i dati dell’unità di ricerca di SILIKN.
Come si può prevenire un attacco ransomware
Aggiorna costantemente i tuoi sistemi. Il software è dotato di vulnerabilità e gli aggressori amano sfruttare le vulnerabilità, quindi la tua azienda dovrebbe avere una patch forte e una politica di gestione degli aggiornamenti.
L’applicazione di patch è un modo semplice ed efficace per difendersi dal ransomware . Dovrebbe essere una routine di routine regolare, in cui le organizzazioni aggiornano e aggiornano frequentemente qualsiasi cosa, da laptop e desktop a server, dispositivi mobili, sistemi operativi (Windows, macOS, Linux / Unix), sicurezza degli endpoint (software antivirus / antimalware), browser web, vale a dire, qualsiasi dispositivo e sistema connesso alla rete.
Formazione continua. È vero, gli utenti finali sono spesso responsabili degli attacchi ransomware . Oppure sono vittime di phishing , phishing dannoso o download non autorizzati su siti infetti. Perché? Poiché le minacce crescono a un ritmo esponenziale e se il personale di un’azienda non riceve continuamente formazione, informazioni e formazione sulla sicurezza informatica, è molto probabile che fallirà nel tentativo di identificare e, quindi, contenere un attacco informatico.
Sebbene sia incoraggiante vedere sempre più organizzazioni che richiedono ai propri dipendenti di partecipare a programmi di formazione sulla consapevolezza della sicurezza informatica, ciò non significa necessariamente che tutti mantengano ciò che hanno imparato. Pertanto, l’istruzione dovrebbe essere continua e incoraggiare l’ipervigilanza al punto in cui diventa una seconda natura per gli utenti: cercare sempre segni di intenti dannosi e controllare le fonti prima di fare clic sui collegamenti o aprire allegati di posta elettronica. .
