¿Sabías que DarkSide consiguió extorsionar unos 75 Bitcoin (casi 5 millones de dólares) a Colonial Pipeline?
Se cree que DarkSide tiene su sede en Europa del Este, probablemente en Rusia, este ransomware as-a-service surgió el verano pasado (2020) y llamó la atención por su enfoque de "honor entre ladrones": La banda afirmaba tener un código de conducta que prohibía atacar a industrias y organizaciones sin ánimo de lucro o relacionadas con el interés público.
En este artículo vamos a mostrarte más en detalle cómo se desarrolla este tipo de ataque y las mejores prácticas a poner en marcha para proteger tu empresa.
Darkside, es un RaaS (Ransomware-as-a-Service) que ha causado varias víctimas de alto perfil recientemente, incluyendo empresas que cotizan en la bolsa de valores NASDAQ.
A diferencia de otros ransomware, Darkside es capaz de cifrar tanto ordenadores con Linux como con Windows, lo que lo convierte en una herramienta más deseable para los cibercriminales que quieren atacar a grandes empresas.
Los desarrolladores de este ransomware reciben una parte de las ganancias de los cibercriminales que lo despliegan, conocidos como "afiliados". Según los informes de código abierto, desde agosto de 2020, Darkside ha estado atacando a múltiples organizaciones provocando el cifrado y el robo de datos confidenciales.
Darkside sigue los pasos de operadores de ransomware de doble extorsión como REVIL, Maze y Lockbit, exfiltrando datos empresariales antes de cifrarlos, y amenazando con hacerlos públicos si las víctimas no pagan por una clave de descifrado.
Más allá del modelo de negocio, Darkside sigue, en general, las mismas tácticas, técnicas y procedimientos de muchas otras campañas de ransomware, una mezcla de características nativas de Windows, malware básico y sistemas y herramientas de explotación
El acceso inicial a la red del objetivo se produce principalmente como resultado de robo de credenciales e identidades suplantadas.
Los ciberdelincuentes que están detrás de las campañas de Darkside pueden pasar de semanas a meses husmeando dentro de la red de una organización antes de activar su el código malicioso del Ransomware.
En el transcurso de ese tiempo, los intrusos exfiltran tantos datos como sea posible. Utilizando conexiones de Escritorio Remoto, PS Exec y SSH para moverse lateralmente dentro de la red Darkside roba grandes cantidades de datos de los distintos departamentos de la empresa.
Después de obtener acceso, los cibercriminales despliegan el ransomware Darkside para cifrar y robar datos sensibles. A continuación, amenazan con hacer públicos los datos si no se paga el rescate.
A continuación en la imagen se puede ver paso por paso el proceso de cifrado que utiliza Darkside:
1. Exigir la autenticación multifactor para el acceso remoto a las redes de OT y TI.
2. Habilitar filtros de spam para evitar que los correos electrónicos de phishing que contienen archivos ejecutables lleguen a los usuarios finales.
3. Establecer programas antivirus / antimalware para realizar controles regulares de los activos de las redes de TI utilizando firmas actualizadas. Utiliza una estrategia de inventario de activos basada en el riesgo para determinar cómo se identifican y evalúan los activos de red OT para detectar la presencia de malware.
4. Actualizar frecuentemente el software, incluidos los sistemas operativos, las aplicaciones y los activos de las redes financieras o de TI. Considera el uso de un sistema de gestión centralizado, utiliza una estrategia de evaluación basada en el riesgo para determinar qué activos y zonas de la red de OT deben participar en el programa de compromiso.
5. Limitar el acceso a los recursos a través de las redes, especialmente restringiendo el RDP. Después de evaluar los riesgos, si el RDP es operativamente necesario, restringe las fuentes de origen y exige la autenticación de múltiples factores.
6. Implantar un programa de formación de usuarios y ataques simulados con el fin de disuadir a los usuarios de visitas a sitios web maliciosos o abrir archivos adjuntos maliciosos y revisar las respuestas que tienen los usuarios a los correos electrónicos de phishing.
7. Filtrar el tráfico de las redes para prohibir las comunicaciones de entrada y salida de los juegos con direcciones IP maliciosas conocidas. Evitar que los usuarios accedan a sitios web maliciosos mediante la implementación de listas de bloqueo de URL y listas de permisos.
La desactivación de los macroscripts de los archivos de Microsoft office transmitidos por correo electrónico. Considerar el uso de software de visualización de Office para abrir los archivos de Microsoft Office transmitidos por correo electrónico en lugar de las aplicaciones del paquete de Microsoft Office.
Implementación de una lista de aplicaciones permitidas, que permita a los sistemas ejecutar solo programas conocidos y permitidos por la política de seguridad.
Implementación de políticas de restricción de software (SRP) u otros controles para evitar que los programas se ejecuten desde las ubicaciones más comunes de los ransomwares, como las carpetas temporales que soportan los browsers de Internet o los programas de compresión / descompresión, incluyendo la carpeta App Data / Local Data.
Supervisión y/o bloqueo de las conexiones desde los nodos de salida TOR y otros servicios de anonimato a direcciones IP.
Despliegue de firmas para detectar y/o bloquear las conexiones entrantes desde los servidores de cobalto Strike y otras explotaciones de correos.
Estas son solo unas cuantas medidas de prevención que reducirán considerablemente el riesgo de ataque Darkside, si tu empresa ya fue atacada tendrás que utilizar otro modelo de actuación.
Si deseas saber más, no dudes en contactarnos, nuestro equipo especializado en Ciberseguridad y este tipo de ataques estará encantando de ayudarte.