Qu'est-ce que DARKSIDE, le groupe de rançongiciels cybercriminels qui met le monde en alerte?

Mai
14, 2021

8 min de lecture

Les opinions exprimées par les contributeurs de Entrepreneur sont les leurs.

Le 7 mai 2021, une attaque ransomware a violé Colonial Pipeline, l’une des plus importantes sociétés d’oléoducs des États-Unis, provoquant l’interruption de l’approvisionnement en naphta, diesel et autres produits raffinés sur une section d'environ 8 850 kilomètres. Selon le FBI, la personne responsable de cette attaque est le ransomware DARKSIDE .

Qu'est-ce que DARKSIDE?

^{Image: Depositphotos.com}

Depuis sa première apparition en août 2020, les créateurs du ransomware DARKSIDE et leurs affiliés ont lancé une vague de criminalité mondiale qui a affecté des organisations dans plus de 15 pays et de multiples industries verticales. Comme beaucoup de leurs pairs, ces cybercriminels se livrent à une extorsion multiforme dans laquelle les données sont exfiltrées et cryptées à la place, ce qui leur permet d'exiger un paiement pour le déverrouillage et la non-divulgation de données volées afin de mettre plus de pression sur les victimes. 19659010] DARKSIDE ransomware fonctionne sous la forme de ransomware as a service (RaaS), dans lequel les bénéfices sont partagés entre ses propriétaires et partenaires, ou affiliés, qui donnent accès aux organisations et mettent en œuvre le ransomware . Ces groupes ont démontré différents niveaux de sophistication technique tout au long des intrusions. Alors que les cyber-attaquants se sont généralement appuyés sur des outils légitimes et disponibles dans le commerce pour faciliter les différentes étapes de leurs opérations, au moins un des groupes menaçants a également utilisé une vulnérabilité zero-day apparemment corrigée.

identifiées, la majorité des organisations étant basées aux États-Unis et couvrant plusieurs secteurs, y compris la finance, le juridique, la fabrication, les services professionnels, la vente au détail et la technologie. Le nombre de victimes nommées publiquement sur le blog du groupe cybercriminel DARKSIDE a globalement augmenté depuis août 2020. La croissance globale du nombre de victimes démontre l'utilisation croissante du ransomware DARKSIDE par plusieurs affiliés.

Depuis novembre. 2020, le cyber-attaquant russe «darksupp» a annoncé DARKSIDE RaaS sur les forums russes exploit.in et xss.is. En avril 2021, darksupp a publié une mise à jour pour le RaaS «Darkside 2.0» qui comprenait plusieurs nouvelles fonctionnalités et une description des types de partenaires et de services qu'ils recherchaient. Les affiliés conservent un pourcentage des frais de rançon de chaque victime. Selon les annonces du forum, les opérateurs RaaS prennent 25% pour les frais de rançon inférieurs à 500 000 $, mais cela tombe à 10% pour les frais de rançon supérieurs à 5 millions de dollars. ]les opérateurs de ce service maintiennent également un blog accessible via TOR. Le groupe de cybercriminels utilise ce site pour sensibiliser les victimes dans le but de faire pression sur ces organisations pour qu'elles paient pour la non-divulgation des données volées.

Une mise à jour récente d'un message sur un forum clandestin indique également que l'utilisation des fonctionnalités du même kit DARKSIDE, Les cybercriminels peuvent tenter de cibler des organisations qui ont été victimes d'attaques par déni de service (DDoS). Cependant, darksupp a déclaré qu'il est interdit aux affiliés de cibler les hôpitaux, les écoles, les universités, les organisations à but non lucratif et les entités du secteur public.

Comment fonctionne le programme d'affiliation DARKSIDE?

^{Image: Depositphotos.com}

Les affiliés de DARKSIDE RaaS doivent passer un entretien après quoi ils ont accès à un panneau d'administration. Dans ce panneau, les affiliés peuvent effectuer diverses actions, telles que créer une version ransomware spécifier le contenu du blog DARKSIDE, gérer les victimes et contacter le support technique.

Un point à noter est que les publicités pertinentes par le groupe cybercriminel ont cherché à trouver des fournisseurs d'accès initiaux ou des cyber-attaquants capables d'implémenter ransomware dans des accès déjà obtenus. Certains cybercriminels prétendant utiliser DARKSIDE se seraient également associés à d'autres programmes d'affiliation RaaS, notamment BABUK et SODINOKIBI (également connu sous le nom de REvil).

En outre, les cybercriminels sont devenus plus compétents dans la conduite d'opérations d'extorsion et ce succès a directement contribué à la augmentation rapide du nombre d'incidents de ransomware à fort impact ces dernières années.

Les opérateurs de ransomware ont incorporé des tactiques d'extorsion supplémentaires conçues pour augmenter la probabilité que les victimes acceptent de payer les prix de la rançon. [19659011] Par exemple, fin avril 2021, les traders de DARKSIDE ont publié une déclaration indiquant qu'ils enfreindraient les organisations cotées au NASDAQ et sur d'autres marchés boursiers. De cette manière, ils ont fait savoir qu'ils seraient disposés à fournir des données aux négociants en bourse sur les fuites d'informations à venir, afin de leur permettre d'éventuels gains en raison de la baisse du prix des actions après une violation annoncée.

Basé sur tendances observées, il est un fait que les tactiques d'extorsion utilisées par les cybercriminels pour faire pression sur les victimes continueront d'évoluer tout au long de 2021.

Ransomware alert in Mexico

[19659010] ^{Image: Depositphotos.com}

Ces types de cyberattaques sont de plus en plus nombreux, sophistiqués, dangereux et massifs. Selon l'unité de recherche SILIKN, au Mexique, plus de la moitié des organisations privées et publiques ont subi une attaque de ce type en 2020. On estime qu'en 2020 une attaque ransomware s'est produite toutes les 14 secondes. Au début de 2021, on estime que ces attaques se produiront toutes les 10 secondes.

Au Mexique, le coût moyen de la remédiation pour les organisations pour une attaque ransomware est de 470 mille dollars et si la rançon est payée, il est de 940 000 dollars.

En 2021, l'attaque à la croissance la plus rapide au Mexique sera ransomware et moins de 50% des organisations ont du personnel formé pour y faire face.

En 2020, ] Le ransomware ciblait principalement le secteur manufacturier, les organisations de soins de santé et les entreprises de construction, avec une rançon moyenne atteignant 500 000 $, selon les données de l'unité de recherche de SILIKN.

Comment peut-on empêcher une attaque ransomware ?

^{Image: Depositphotos.com}

Voici quelques suggestions:

Mettez constamment à jour vos systèmes . Les logiciels sont livrés avec des vulnérabilités et les attaquants adorent exploiter les vulnérabilités. Votre entreprise doit donc disposer d'une politique solide de gestion des correctifs et des mises à jour.

Les correctifs sont un moyen simple et efficace de se défendre contre le ransomware . Il doit s'agir d'une routine de routine régulière, dans laquelle les organisations mettent fréquemment à jour et mettent à jour tout, des ordinateurs portables et des ordinateurs de bureau aux serveurs, appareils mobiles, systèmes d'exploitation (Windows, macOS, Linux / Unix), sécurité des points de terminaison (logiciel antivirus / antimalware), navigateurs Web, c'est-à-dire tout appareil et système connectés au réseau.

Formation continue. C'est vrai, les utilisateurs finaux sont souvent à blâmer pour les attaques ransomware . Ou ils sont victimes de hameçonnage de phishing malveillant ou de téléchargements non autorisés vers des sites infectés. Pourquoi? Étant donné que les menaces augmentent à un rythme exponentiel et si le personnel d'une entreprise ne reçoit pas continuellement de formation, d'informations et de formation sur la cybersécurité, il est fort probable qu'ils échoueront dans leur tentative d'identifier et, par conséquent, de contenir une cyberattaque.

est encourageant de voir de plus en plus d'organisations demander à leurs employés de participer à des programmes de formation de sensibilisation à la cybersécurité, cela ne signifie pas nécessairement que chacun retient ce qu'il a appris. Par conséquent, l'éducation doit être continue et encourager l'hypervigilance au point qu'elle devienne une seconde nature pour les utilisateurs: recherchez toujours les signes d'intention malveillante et vérifiez les sources avant de cliquer sur des liens ou d'ouvrir des pièces jointes aux e-mails. .