1. Chi è DarkSide?
DarkSide era un gruppo di ransomware as a service (RaaS) a pagamento. Il gruppo DarkSide RaaS è stato attivo e coinvolto in attacchi informatici almeno dall'agosto 2020. Gli hacker ingaggiavano DarkSide per estrarre il massimo riscatto da un'organizzazione dopo aver dimostrato a DarkSide di aver stabilito un accesso persistente a un obiettivo. Da lì, DarkSide utilizza l'accesso per distribuire il ransomware.
DarkSide, come molti altri gruppi RaaS, utilizzava un approccio a doppio riscatto. Prima vendevano la chiave di crittografia, poi chiedevano all'organizzazione un riscatto per i dati rubati, altrimenti venivano distrutti.
2. Qual è il modello di business del ransomware DarkSide?
DarkSide gestisce un programma di affiliazione in cui gli operatori di ransomware forniscono codice malware criptobloccante a terzi. Ogni affiliato riceve una versione del codice con il proprio ID univoco incorporato. Per ogni vittima che paga un riscatto, l'affiliato condivide una percentuale del pagamento (generalmente ~30%) con l'operatore del ransomware.
3. Quali sono i metodi di attacco del ransomware DarkSide?
I gruppi RaaS, tra cui DarkSide, non si infiltrano nelle organizzazioni. Al contrario, l'hacker deve dimostrare di aver ottenuto l'accesso a un'organizzazione e il gruppo RaaS utilizza questo accesso per mettere in scena il ransomware, eseguendo contemporaneamente una due diligence sulla polizza assicurativa ransomware dell'obiettivo per garantire il massimo profitto. Questi gruppi utilizzano tecniche comunemente osservate durante le loro attività di staging, che consentono a Vectra di rilevare il ransomware molto prima che avvenga la crittografia.
4. Come fa il ransomware a eludere gli strumenti di sicurezza standard?
5. Come individuare e fermare le bande di ransomware come DarkSide prima dell'evento ransomware?
Sebbene DarkSide abbia presumibilmente cessato le attività in seguito all'attacco di Colonial Pipeline, attualmente sono attivi più di 100 gruppi RaaS e sicuramente altri sono pronti a prendere il loro posto. Il rilevamento precoce del comportamento degli attori delle minacce è fondamentale per impedire al ransomware di paralizzare l'azienda. Vectra identifica i comportamenti pre-ransomware utilizzati da DarkSide e da altri gruppi RaaS per bloccare gli attacchi.
Se pensate che la vostra azienda non sia un obiettivo per il ransomware, chiedetevi:
- La vostra azienda può permettersi di rimanere inattiva per 21 giorni?
- La vostra azienda può permettersi di impiegare 287 giorni per riprendersi da un attacco?
- La vostra azienda può permettersi di pagare un riscatto di 312.493 dollari?
- Le vostre organizzazioni possono permettersi i danni al marchio di un attacco?
Fermate subito il Ransomware! Vectra può mostrarvi come.