Vladimir Kuskov, Head of Threat Exploration di Kaspersky, ha commentato e analizzato l’attacco subito da Colonial Pipeline, l’azienda americana specializzata in oleodotti, e attribuito al gruppo criminale DarkSide.
DarkSide è il tipico caso in cui i gruppi criminali hanno come obiettivo dichiarato il guadagno economico e la cui attività viene definita “Big Game Hunting“, ovvero la “caccia grossa”. Si muovono utilizzando schemi di partner affiliati: offrono il loro “prodotto” ransomware ai “partner” che a loro volta possono acquistare da altri hacker l’accesso alle organizzazioni e diffondere così il ransomware. A differenza di altri gruppi, DarkSide sostiene di avere un codice di condotta che prevede l’esclusione dai loro obiettivi di organizzazioni quali ospedali, scuole, istituzioni governative e organizzazioni non commerciali. A giudicare dalla dichiarazione pubblicata sul loro leak site, sembra che DarkSide non avesse previsto le conseguenze e l’attenzione mediatica avuta con l’attacco a Colonial Pipeline e che ora abbia deciso di adottare una linea più moderata per evitare situazioni simili in futuro.
Esistono versioni del ransomware di DarkSide per Windows e Linux ed entrambe hanno uno schema crittografico sicuro che rende impossibile decriptare i file senza la chiave del gruppo criminale.
In passato, DarkSide aveva commesso l’errore di utilizzare le stesse chiavi per più vittime, permettendo così alle aziende di sicurezza di sviluppare uno tool di decrittazione per aiutare le vittime a recuperare i loro file senza pagare il riscatto. Il gruppo ha risposto a questa situazione sul forum darknet e le vittime non hanno più potuto utilizzare questa opzione.
I prodotti Kaspersky proteggono contro il ransomware DarkSide e lo rilevano come Trojan-Ransom.Win32.Darkside e Trojan-Ransom.Linux.Darkside.
Negli ultimi due anni il numero di attacchi ransomware mirati è aumentato notevolmente, per questo motivo è molto importante che le organizzazioni aumentino il livello di protezione dei loro sistemi e di quello dei loro network. Si consiglia di non esporre i servizi di desktop remoto a reti pubbliche a meno che non sia assolutamente necessario e di utilizzare sempre password complesse. Inoltre, è importante installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono l’accesso ai dipendenti che lavorano da remoto e che fungono da gateway nella rete aziendale. Un altro importante suggerimento è quello di tenere sempre aggiornato il software di sicurezza su tutti i dispositivi utilizzati per evitare che il ransomware sfrutti le vulnerabilità.
Inoltre, è importante focalizzare la propria strategia di difesa nel rilevare tattiche di movimento laterale ed esfiltrazione di dati su Internet e prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici. A questo proposito, è possibile utilizzare soluzioni di protezione endpoint e di rilevamento e risposta e/o i servizi di managed detection and response, come Kaspersky Endpoint Detection and Response e Kaspersky Managed Detection and Response, per identificare e bloccare l’attacco nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi finali.