Site icon Panda Security Mediacenter

Ransomware DarkSide: cos’è e come proteggersi

Un nuovo ransomware chiamato DarkSide si aggira per il web; scopriamo insieme come funziona e cosa possiamo fare per prevenire gli attacchi!

I ransomware sono una delle minacce più pericolose e costose del mondo digitale di oggi. I criminali informatici possono fare seri danni prendendo il controllo dei dati della vittima finché questa non paga un riscatto, oppure rivendendoli a sua volta nel dark web al miglior offerente.

Gli attacchi ransomware sono molto redditizi, per cui i gruppi di hacker si sono organizzati e alcuni di loro sono diventati persino famosi per aver sviluppato ransomware particolarmente pericolosi o per aver attaccato aziende molto grosse e chiesto riscatti altrettanto grandi. Uno di questi gruppi si chiama DarkSide e di solito prende di mira grandi aziende in grado di pagare i riscatti. 

Tuttavia, anche per i singoli utenti è importante sapere come funzionano i ransomware e come proteggersi, perché un attacco potrebbe prendere di mira i dispositivi che usi sul lavoro o quelli personali. In questo post, vediamo cos’è il ransomware DarkSide, come funziona e come proteggere il nostro computer. Continua a leggere!

Ransomware DarkSide, cos’è

È un tipo di ransomware utilizzato dall’omonimo gruppo di cybercriminali, che prende di mira organizzazioni di tutto il mondo. Questo gruppo è conosciuto almeno dal 2020 ed è diventato famoso con l’attacco a Colonial Pipeline, la più grande rete di oleodotti degli USA.

Questo gruppo di hacker segue un modello di business (perché di fatto opera come una vera e propria azienda) chiamato Ransomware as a Service, abbreviato con la sigla RaaS, sulla falsa riga dei software SaaS. Si tratta di un modello di accesso ai servizi tramite abbonamento che consente agli affiliati di utilizzare un programma o una serie di utilità che altrimenti non potrebbe acquistare. In questo caso, si tratta di strumenti illegali per realizzare attacchi ransomware e i “clienti” sono hacker con poche competenze tecniche che vogliono un malware pronto per l’uso.

Le statistiche più recenti sul ransomware mostrano che questi attacchi possono essere devastanti per le organizzazioni e DarkSide non fa eccezione. Ad esempio, durante l’attacco che abbiamo appena citato, Colonial Pipeline ha dovuto interrompere i servizi lungo migliaia di chilometri di oleodotti, che forniscono quasi la metà del petrolio consumato sulla costa orientale degli Stati Uniti. Per riportare la struttura in funzionamento, la corporation non ha avuto altra scelta che pagare un riscatto di 75 Bitcoin.

Come funziona il ransomware DarkSide

Il gruppo DarkSide fornisce il proprio ransomware come un servizio in cambio di una percentuale sui profitti. I criminali scelgono una vittima vulnerabile e che, secondo le loro previsioni, pagherà il riscatto per rimanere operativa e non rovinarsi la reputazione.

Per riconoscere il prima possibile un attacco ransomware, è necessario sapere che strategia utilizza.

Punto di entrata

Il punto di entrata o di inizio dell’attacco con DarkSide è quasi sempre una vulnerabilità di un software o di un sistema. In alternativa, alcuni attacchi vengono lanciati tramite una campagna di email di phishing, ovvero di email ingannevoli che convincono i destinatari a fare clic su link o allegati infetti, che installano il malware sul computer.

Escalation dell’accesso

Una volta ottenuto l’accesso al sistema, gli hacker cercano di manipolarlo per accedere a livelli sempre più alti e ottenere privilegi amministrativi, che sono necessari per ampliare la portata dell’attacco e causare più danni. L’obiettivo è riuscire a muoversi liberamente all’interno della rete e senza essere notati, in questo modo il criminale può trovare i file e le informazioni più importanti su cui concentrare l’attacco ransomware.

Furto di dati

Una volta trovati i dati che gli interessano, l’hacker procederà a copiarli e criptare gli originali in modo che il proprietario non possa più accedervi. Di solito, gli hacker prendono di mira 2 tipi di file:

  1. File necessari per il normale funzionamento dell’azienda, come nel caso di Colonial Pipeline
  2. File contenenti dati personali, ad esempio dei clienti.

Criptazione

L’hacker utilizza un algoritmo di crittografia che viene applicato dal ransomware e rende illeggibili i dati, in modo che il bersaglio dell’attacco non possa più utilizzarli a meno che non entri in possesso della chiave di crittografia (pagando il riscatto). Il risultato finale è che i file e i dati rimangono nei sistemi dell’azienda, ma sono inservibili e congelati.

LEGGI ANCHE: 10 consigli di cybersecurity per le piccole imprese

Come prevenire un attacco ransomware DarkSide 

L’organizzazione criminale DarkSide ha rimosso il proprio sito web e ha comunicato pubblicamente di essersi sciolta, ma nessuno ha modo di sapere se è realmente così o se questo annuncio fa parte di una tattica di depistaggio per rendere più difficili le ricerche condotte dalle autorità.

Non possiamo sapere se continuano a operare o se, più probabilmente, hanno formato nuovi gruppi di cybercriminali e si dedicano ad altri attacchi ransomware. Il risultato, comunque, non cambia: le reti di migliaia di aziende e persone sono esposte agli attacchi ransomware e. tra questi, ai cyberattacchi DarkSide. Vediamo ora cosa possiamo fare per prevenirli e ridurre i danni nel caso in cui un attacco dovesse andare a segno:

Seguendo questi semplici ma efficaci consigli, puoi prevenire molti attacchi informatici e ridurre al minimo i danni in caso di infezione da ransomware. In ogni caso, ti consigliamo di stare sempre all’erta, soprattutto se hai dei dispositivi ibridi, ovvero che utilizzi sia per il lavoro sia per scopi personali.

CONTINUA A LEGGERE: Sondaggio sulla cybersicurezza europea di Panda Security

Buona navigazione e buona protezione dal ransomware DarkSide!

Exit mobile version