L’FBI ha confermato questa settimana che un Threat Actor relativamente nuovo che sviluppa  ransomware noto come DarkSide è responsabile di un attacco che ha causato la chiusura di 5.550 miglia di oleodotto di Colonial Pipeline, bloccando innumerevoli barili di benzina, diesel e carburante per aerei sulla costa del Golfo.

Diverse società di cyber intelligence hanno affermato che l’attacco non era inteso a danneggiare l’infrastruttura nazionale ed era semplicemente associato ad attività estorsive tipiche di attacchi Ransomware e Double-Extortion.

Ciò sarebbe coerente con le precedenti attività di DarkSide, che includevano diversi attacchi di “Big Game Hunting“, in cui gli aggressori prendono di mira organizzazioni che possiedono i mezzi finanziari per pagare ingenti riscatti economici.

THREAT ACTOR:
DASKRSIDE

In risposta all’attenzione dell’opinione pubblica sull’attacco al Colonial Pipeline, il gruppo DarkSide ha cercato di minimizzare i timori sugli attacchi alle infrastrutture critiche in futuro:

“Siamo apolitici, non partecipiamo alla geopolitica, non abbiamo bisogno di legarci a un governo definito e cercare altre nostre motivazioni”, si legge in un aggiornamento al blog DarkSide Leaks. “Il nostro obiettivo è fare soldi e non creare problemi alla società. Da oggi introduciamo la moderazione e controlliamo ogni azienda che i nostri partner vogliono crittografare per evitare conseguenze sociali in futuro”.

Apparsa per la prima volta sui forum di hacking in lingua russa nell’agosto 2020, DarkSide è una piattaforma RaaS (Ransomware-as-a-Service) che gli affiliati possono affittare per infettare le aziende con ransomware ed eseguire negoziazioni e pagamenti con le vittime. DarkSide afferma che si rivolge solo alle grandi aziende e vieta agli affiliati di lanciare Ransomware su organizzazioni in diversi settori, tra cui sanità, servizi funebri, istruzione, settore pubblico e organizzazioni non profit.

Come altre piattaforme ransomware, DarkSide aderisce all’attuale pratica della doppia estorsione, che prevede la richiesta di somme separate sia per una chiave digitale necessaria per sbloccare file e server, sia per un riscatto in cambio della promessa di non divulgare i dati rubati dalla vittima.

Al suo lancio, DarkSide ha cercato di convincere gli affiliati dai programmi ransomware concorrenti pubblicizzando una maggiore fiducia e attendibilità rispetto ai competitor. Nella sezione “Perché sceglierci?” intestazione del thread del programma ransomware, l’amministratore risponde:

“Alto livello di fiducia dei nostri obiettivi. Ci pagano e sanno che riceveranno strumenti di decrittazione. Sanno anche che scarichiamo dati. Molti dati. Ecco perché la percentuale delle nostre vittime che pagano il riscatto è così alta e ci vuole così poco tempo per negoziare “.

Alla fine di marzo, DarkSide ha introdotto la funzione del “servizio di chiamata” che è stata integrata nel pannello di gestione dell’affiliato, e che ha permesso agli affiliati di organizzare chiamate che spingevano le vittime a pagare i riscatti direttamente dal pannello di gestione.

A metà aprile il programma ransomware ha annunciato una nuova feature per gli affiliati, la possibilità di lanciare attacchi DDoS (Distributed Denial-of-Service) contro gli obiettivi per esercitare una pressione aggiuntiva durante le negoziazioni di riscatto.

Ora il nostro team e i nostri partner crittografano molte società che negoziano sul NASDAQ e altre borse“, spiega DarkSide. “Se la società si rifiuta di pagare, siamo pronti a fornire informazioni prima della pubblicazione, in modo che sia possibile guadagnare nel prezzo di riduzione delle azioni. Scrivici in “Contattaci” e ti forniremo informazioni dettagliate.”

DarkSide ha anche iniziato a reclutare nuovi affiliati il ​​mese scorso, principalmente alla ricerca di penetration tester di rete che possano aiutare a trasformare un singolo computer compromesso in una violazione dei dati e in un incidente ransomware.

Porzioni di un messaggio di reclutamento di DarkSide, tradotto dal russo: “Siamo cresciuti in modo significativo in termini di base di clienti e rispetto ad altri progetti (a giudicare dall’analisi delle informazioni disponibili pubblicamente), quindi siamo pronti a far crescere il nostro team e un numero di nostri affiliati in due campi”, ha spiegato DarkSide.

L’annuncio continuava:

“Network Penetration Tester. Stiamo cercando una persona o una squadra. Ti adatteremo all’ambiente di lavoro e ti forniremo lavoro. Elevati tagli ai profitti, capacità di scegliere come target reti che non puoi gestire da solo. Nuova esperienza e reddito stabile.”

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]