{"id":2326,"date":"2021-05-17T12:09:48","date_gmt":"2021-05-17T10:09:48","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=2326"},"modified":"2021-05-17T12:09:48","modified_gmt":"2021-05-17T10:09:48","slug":"darkside-ransomware-colonial-pipeline-hack","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/darkside-ransomware-colonial-pipeline-hack\/","title":{"rendered":"DarkSide Ransomware: Colonial Pipeline hack"},"content":{"rendered":"\n

L’FBI ha confermato questa settimana che un Threat Actor relativamente nuovo che sviluppa\u00a0 ransomware noto come DarkSide<\/strong> \u00e8 responsabile di un attacco che ha causato la chiusura di 5.550 miglia di oleodotto <\/strong>di Colonial Pipeline, bloccando innumerevoli barili di benzina, diesel e carburante per aerei sulla costa del Golfo.<\/p>\n

Diverse societ\u00e0 di cyber intelligence hanno affermato che l’attacco non era inteso a danneggiare l’infrastruttura nazionale<\/strong> ed era semplicemente associato ad attivit\u00e0 estorsive tipiche di attacchi Ransomware<\/strong> e Double-Extortion.<\/strong><\/span><\/p>\n

Ci\u00f2 sarebbe coerente con le precedenti attivit\u00e0 di DarkSide, che includevano diversi attacchi di “Big Game Hunting<\/em><\/strong>“, in cui gli aggressori prendono di mira organizzazioni che possiedono i mezzi finanziari per pagare ingenti riscatti economici.<\/span><\/p>\n\n\n\n

\n

THREAT ACTOR:
DASKRSIDE<\/span><\/span><\/strong><\/h2>\n<\/div><\/div>\n\n\n\n

<\/p>\n

In risposta all’attenzione dell’opinione pubblica sull’attacco al Colonial Pipeline<\/strong>, il gruppo DarkSide ha cercato di minimizzare i timori sugli attacchi alle infrastrutture critiche in futuro:<\/span><\/p>\n

\n

“Siamo apolitici, non partecipiamo alla geopolitica, non abbiamo bisogno di legarci a un governo definito e cercare altre nostre motivazioni”, si legge in un aggiornamento al blog DarkSide Leaks. \u201cIl nostro obiettivo \u00e8 fare soldi e non creare problemi alla societ\u00e0. Da oggi introduciamo la moderazione e controlliamo ogni azienda che i nostri partner vogliono crittografare per evitare conseguenze sociali in futuro”.<\/em><\/p>\n<\/blockquote>\n

Apparsa per la prima volta sui forum di hacking in lingua russa nell’agosto 2020, DarkSide \u00e8 una piattaforma RaaS<\/strong> (Ransomware-as-a-Service) che gli affiliati possono affittare per infettare le aziende con ransomware ed eseguire negoziazioni e pagamenti con le vittime. DarkSide afferma che si rivolge solo alle grandi aziende e vieta agli affiliati di lanciare Ransomware su organizzazioni in diversi settori<\/strong>, tra cui sanit\u00e0, servizi funebri, istruzione, settore pubblico e organizzazioni non profit.<\/span><\/p>\n

Come altre piattaforme ransomware, DarkSide aderisce all’attuale pratica della doppia estorsione<\/strong>, che prevede la richiesta di somme separate sia per una chiave digitale necessaria per sbloccare file e server, sia per un riscatto in cambio della promessa di non divulgare i dati rubati dalla vittima.<\/span><\/p>\n

Al suo lancio, DarkSide ha cercato di convincere gli affiliati dai programmi ransomware concorrenti pubblicizzando una maggiore fiducia e attendibilit\u00e0 rispetto ai competitor<\/em>. Nella sezione “Perch\u00e9 sceglierci?<\/strong>” intestazione del thread del programma ransomware, l’amministratore risponde:<\/span><\/p>\n

\n

\u201cAlto livello di fiducia dei nostri obiettivi. Ci pagano e sanno che riceveranno strumenti di decrittazione. Sanno anche che scarichiamo dati. Molti dati. Ecco perch\u00e9 la percentuale delle nostre vittime che pagano il riscatto \u00e8 cos\u00ec alta e ci vuole cos\u00ec poco tempo per negoziare “.<\/em><\/p>\n<\/blockquote>\n

Alla fine di marzo, DarkSide ha introdotto la funzione del “servizio di chiamata” che \u00e8 stata integrata nel pannello di gestione dell’affiliato, e che ha permesso agli affiliati di organizzare chiamate che spingevano le vittime a pagare i riscatti direttamente dal pannello di gestione.<\/span><\/p>\n

A met\u00e0 aprile il programma ransomware ha annunciato una nuova feature<\/strong> <\/em>per gli affiliati, la possibilit\u00e0 di lanciare attacchi DDoS<\/strong> (Distributed Denial-of-Service) contro gli obiettivi per esercitare una pressione aggiuntiva durante le negoziazioni di riscatto.<\/span><\/p>\n

Ora il nostro team e i nostri partner crittografano molte societ\u00e0 che negoziano sul NASDAQ e altre borse<\/em>“, spiega DarkSide. \u201cSe la societ\u00e0 si rifiuta di pagare, siamo pronti a fornire informazioni prima della pubblicazione, in modo che sia possibile guadagnare nel prezzo di riduzione delle azioni. Scrivici in “Contattaci” e ti forniremo informazioni dettagliate.”<\/span><\/p>\n

DarkSide ha anche iniziato a reclutare nuovi affiliati il \u200b\u200bmese scorso, principalmente alla ricerca di penetration tester di rete<\/strong> che possano aiutare a trasformare un singolo computer compromesso in una violazione dei dati e in un incidente ransomware.<\/span><\/p>\n

\n

Porzioni di un messaggio di reclutamento di DarkSide, tradotto dal russo: “Siamo cresciuti in modo significativo in termini di base di clienti e rispetto ad altri progetti (a giudicare dall’analisi delle informazioni disponibili pubblicamente), quindi siamo pronti a far crescere il nostro team e un numero di nostri affiliati in due campi”, ha spiegato DarkSide.<\/em><\/span><\/p>\n<\/blockquote>\n

L’annuncio continuava:<\/p>\n

\n

\u201cNetwork Penetration Tester. Stiamo cercando una persona o una squadra. Ti adatteremo all’ambiente di lavoro e ti forniremo lavoro. Elevati tagli ai profitti, capacit\u00e0 di scegliere come target reti che non puoi gestire da solo. Nuova esperienza e reddito stabile.”<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":1687,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[74,105,283],"class_list":["post-2326","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-colonial-pipeline","tag-darkside","tag-ransomware"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2326","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2326"}],"version-history":[{"count":0,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2326\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2326"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2326"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2326"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}