Un nuovo ransomware chiamato DarkSide si aggira per il web; scopriamo insieme come funziona e cosa possiamo fare per prevenire gli attacchi!

I ransomware sono una delle minacce più pericolose e costose del mondo digitale di oggi. I criminali informatici possono fare seri danni prendendo il controllo dei dati della vittima finché questa non paga un riscatto, oppure rivendendoli a sua volta nel dark web al miglior offerente.

Gli attacchi ransomware sono molto redditizi, per cui i gruppi di hacker si sono organizzati e alcuni di loro sono diventati persino famosi per aver sviluppato ransomware particolarmente pericolosi o per aver attaccato aziende molto grosse e chiesto riscatti altrettanto grandi. Uno di questi gruppi si chiama DarkSide e di solito prende di mira grandi aziende in grado di pagare i riscatti. 

Tuttavia, anche per i singoli utenti è importante sapere come funzionano i ransomware e come proteggersi, perché un attacco potrebbe prendere di mira i dispositivi che usi sul lavoro o quelli personali. In questo post, vediamo cos’è il ransomware DarkSide, come funziona e come proteggere il nostro computer. Continua a leggere!

Ransomware DarkSide, cos’è

È un tipo di ransomware utilizzato dall’omonimo gruppo di cybercriminali, che prende di mira organizzazioni di tutto il mondo. Questo gruppo è conosciuto almeno dal 2020 ed è diventato famoso con l’attacco a Colonial Pipeline, la più grande rete di oleodotti degli USA.

Questo gruppo di hacker segue un modello di business (perché di fatto opera come una vera e propria azienda) chiamato Ransomware as a Service, abbreviato con la sigla RaaS, sulla falsa riga dei software SaaS. Si tratta di un modello di accesso ai servizi tramite abbonamento che consente agli affiliati di utilizzare un programma o una serie di utilità che altrimenti non potrebbe acquistare. In questo caso, si tratta di strumenti illegali per realizzare attacchi ransomware e i “clienti” sono hacker con poche competenze tecniche che vogliono un malware pronto per l’uso.

Le statistiche più recenti sul ransomware mostrano che questi attacchi possono essere devastanti per le organizzazioni e DarkSide non fa eccezione. Ad esempio, durante l’attacco che abbiamo appena citato, Colonial Pipeline ha dovuto interrompere i servizi lungo migliaia di chilometri di oleodotti, che forniscono quasi la metà del petrolio consumato sulla costa orientale degli Stati Uniti. Per riportare la struttura in funzionamento, la corporation non ha avuto altra scelta che pagare un riscatto di 75 Bitcoin.

Come funziona il ransomware DarkSide

Il gruppo DarkSide fornisce il proprio ransomware come un servizio in cambio di una percentuale sui profitti. I criminali scelgono una vittima vulnerabile e che, secondo le loro previsioni, pagherà il riscatto per rimanere operativa e non rovinarsi la reputazione.

Per riconoscere il prima possibile un attacco ransomware, è necessario sapere che strategia utilizza.

Fasi di un attacco ransomware 1. Punto di entrata L’hacker approfitta di una vulnerabilità del sistema o a livello di utente. 2. Escalation dell’accesso L’hacker penetra nel sistema e ne prende il controllo. 3. Furto di dati L’hacker ruba tutti i dati personali che trova. 4. Criptazione L’hacker codifica i dati impedendo alla vittima di usarli finché non paga il riscatto.

Punto di entrata

Il punto di entrata o di inizio dell’attacco con DarkSide è quasi sempre una vulnerabilità di un software o di un sistema. In alternativa, alcuni attacchi vengono lanciati tramite una campagna di email di phishing, ovvero di email ingannevoli che convincono i destinatari a fare clic su link o allegati infetti, che installano il malware sul computer.

Escalation dell’accesso

Una volta ottenuto l’accesso al sistema, gli hacker cercano di manipolarlo per accedere a livelli sempre più alti e ottenere privilegi amministrativi, che sono necessari per ampliare la portata dell’attacco e causare più danni. L’obiettivo è riuscire a muoversi liberamente all’interno della rete e senza essere notati, in questo modo il criminale può trovare i file e le informazioni più importanti su cui concentrare l’attacco ransomware.

Furto di dati

Una volta trovati i dati che gli interessano, l’hacker procederà a copiarli e criptare gli originali in modo che il proprietario non possa più accedervi. Di solito, gli hacker prendono di mira 2 tipi di file:

  1. File necessari per il normale funzionamento dell’azienda, come nel caso di Colonial Pipeline
  2. File contenenti dati personali, ad esempio dei clienti.

Criptazione

L’hacker utilizza un algoritmo di crittografia che viene applicato dal ransomware e rende illeggibili i dati, in modo che il bersaglio dell’attacco non possa più utilizzarli a meno che non entri in possesso della chiave di crittografia (pagando il riscatto). Il risultato finale è che i file e i dati rimangono nei sistemi dell’azienda, ma sono inservibili e congelati.

LEGGI ANCHE: 10 consigli di cybersecurity per le piccole imprese

Come prevenire un attacco ransomware DarkSide 

L’organizzazione criminale DarkSide ha rimosso il proprio sito web e ha comunicato pubblicamente di essersi sciolta, ma nessuno ha modo di sapere se è realmente così o se questo annuncio fa parte di una tattica di depistaggio per rendere più difficili le ricerche condotte dalle autorità.

Non possiamo sapere se continuano a operare o se, più probabilmente, hanno formato nuovi gruppi di cybercriminali e si dedicano ad altri attacchi ransomware. Il risultato, comunque, non cambia: le reti di migliaia di aziende e persone sono esposte agli attacchi ransomware e. tra questi, ai cyberattacchi DarkSide. Vediamo ora cosa possiamo fare per prevenirli e ridurre i danni nel caso in cui un attacco dovesse andare a segno:

hecklist per mitigare un attacco ransomware con DarkSide Rafforzare le password Installare un antivirus Fare il backup periodico dei dati Mantenere aggiornato il sistema Ignorare le email di phishing Utilizzare una buona VPN Creare una lista nera di siti

  • Utilizza password efficaci. Non riutilizzare mai le password per più account o dispositivi e usa un password manager per memorizzarle e, soprattutto, per creare password complesse e difficili da indovinare con i metodi tradizionali utilizzati dagli hacker, come gli attacchi a forza bruta.
  • Installa un buon antivirus. Gli antivirus migliori, come Panda Dome, sono quelli potenti ma semplici da usare e leggeri per il computer, ovvero che non rallentano le operazioni mentre sono in funzione.
  • Fai un backup periodico. Questa è la vera, grande arma contro i ransomware: se hai un backup dei dati, la metà del problema è già risolta, ovvero l’accesso a dati e file, che puoi ripristinare in poco tempo. Il problema, invece, rimane per l’eventuale divulgazione dei dati personali rubati, che ormai rappresenta il pericolo più grande per le aziende prese di mira dai ransomware.
  • Mantieni aggiornati i sistemi operativi e i software. Le minacce informatiche si evolvono continuamente e i ransomware sono una delle categorie che cresce più rapidamente di tutte. Per questo motivo, è fondamentale mantenere sempre aggiornato il sistema operativo, le app e l’antivirus, in modo da approfittare degli aggiornamenti di sicurezza che risolvono eventuali problemi non appena vengono scoperti.
  • Non aprire le email sospette. Come abbiamo visto, le email e gli SMS di phishing sono il secondo canale di diffusione dei ransomware e per questo è importante saperli riconoscere. Nel nostro blog, trovi molti post su questo argomento; in generale, il punto è non credere ai messaggi sospetti, che fanno leva sull’urgenza, sulla paura o, al contrario, sulla promessa di grandi guadagni.
  • Utilizza una VPN. Le reti private virtuali ti aiutano a navigare e lavorare online in modo quasi del tutto anonimo, per cui diventa più difficile per un hacker prenderti di mira. Una buona VPN nasconde il tuo indirizzo IP e protegge i dati che trasmetti anche quando ti connetti a una rete pubblica senza una password WPA2.
  • Crea una blocklist. Una blocklist è una lista nera di indirizzi internet da bloccare, in modo che le persone (tu, i tuoi familiari o gli amici che si connettono alla tua rete Wi-Fi) non possano accedervi.

Seguendo questi semplici ma efficaci consigli, puoi prevenire molti attacchi informatici e ridurre al minimo i danni in caso di infezione da ransomware. In ogni caso, ti consigliamo di stare sempre all’erta, soprattutto se hai dei dispositivi ibridi, ovvero che utilizzi sia per il lavoro sia per scopi personali.

CONTINUA A LEGGERE: Sondaggio sulla cybersicurezza europea di Panda Security

Buona navigazione e buona protezione dal ransomware DarkSide!