El ransomware DarkSide es un tipo de ransomware desarrollado por el grupo cibercriminal DarkSide. El ransomware Darkside cifra los archivos de los sistemas infectados, haciéndolos inaccesibles hasta que se pague un rescate en criptomoneda.
¿Qué es DarkSide?
DarkSide es un grupo de ciberdelincuentes que utiliza ransomware para atacar a organizaciones y ofrece ransomware como servicio (RaaS) que permite a los clientes alquilar sus herramientas de ransomware. Dotan a los hackers menos cualificados técnicamente para que lancen ataques complejos contra las organizaciones, mientras DarkSide se lleva una parte del pago de los rescates.
DarkSide se ha hecho famoso por sus “tácticas de doble extorsión”, en las que amenaza a las víctimas que se niegan a pagar el rescate con vender sus datos en el mercado negro o publicar información confidencial en su sitio web DarkSide Leaks. Han robado más de 100 GB de datos y han recaudado aproximadamente 4 millones de dólares en concepto de rescate.
Uno de los ataques DarkSide más infames tuvo como objetivo Colonial Pipeline en mayo de 2021. Colonial Pipeline es un importante operador de oleoductos de combustible en Estados Unidos y, debido al ataque de DarkSide, se vio obligado a interrumpir temporalmente sus operaciones, lo que provocó una escasez generalizada de combustible y subidas de precios. Al parecer, Colonial Pipeline pagó un rescate de 4,4 millones de dólares.
¿Qué pasó con DarkSide?
Tras el sonado ataque ontra Colonial Pipeline en 2021, DarkSide se enfrentó a un mayor escrutinio por parte de las fuerzas de seguridad internacionales. En respuesta a la presión, el grupo anunció su retirada de las operaciones, alegando la pérdida de acceso a su infraestructura y a sus monederos de criptomonedas. Sin embargo, el modelo RaaS significa que los restos de sus herramientas y tácticas pueden persistir a través de otros grupos de ciberdelincuentes.
¿Cómo funciona el ransomware DarkSide?
En lugar de utilizar correos electrónicos de spear-phishing como el ransomware tradicional, el ransomware DarkSide se dirige a infraestructuras de escritorio virtuales. Una vez dentro, los atacantes establecen el comando y control utilizando protocolos de escritorio remoto (RDP) sobre el puerto 443, enrutado a través de TOR para enmascarar sus actividades.
El ransomware DarkSide suele aprovecharse de dos vulnerabilidades: CVE-2019-5544, un exploit en OpenSLP, y CVE-2020-3992, una vulnerabilidad en VMware. Ambas vulnerabilidades tienen parches que las solucionan, pero las organizaciones que no utilizan un software de gestión de parches pueden seguir teniendo las versiones antiguas que dan al ransomeware DarkSide un punto de ataque.
Cómo defender tus dispositivos del ransomware DarkSide
-
Copias de seguridad
Haz copias de seguridad periódicas de los datos críticos para garantizar que no se pierda ningún archivo durante un ataque de ransomware DarkSide. Los software de copia de seguridad para la recuperación de ransomware protegen los datos de una organización empleando cifrado en tránsito y en almacenamiento, autenticación multifactor (MFA) y claves de autorización revocables. Con recuperación de ransomware, los técnicos pueden restaurar rápidamente cualquier archivo cifrado por el ransomware DarkSide.
-
Gestión de parches
Mantener el software constantemente actualizado garantiza que las vulnerabilidades no puedan ser usadas por el ransomware. Si te aseguras de que el proceso de gestión de parches de tu organización es coherente y fiable, podrás evitar que el ransomware DarkSide aproveche las vulnerabilidades y acceda a tus sistemas y redes.
-
Segmentación de la red
Tener visibilidad sobre tu red te permite detectar partes no autorizadas y tomar medidas proactivas, como emplear la segmentación para contener posibles brechas y limitar el acceso entre distintas partes de la red. Un software de supervisión y gestión remotas (RMM) con supervisión de red puede permitir a tu equipo informático hacer frente a los ataques de ransomware.
Mejorar la seguridad informática contra el ransomware
A medida que más empresas pasan a configuraciones de trabajo remotas o híbridas, el ransomware DarkSide representa una amenaza mayor. Comprendiendo la amenaza que supone el ransomware DarkSide, los profesionales de la ciberseguridad pueden tomar medidas proactivas para proteger su infraestructura informática.
La aplicación sistemática de parches elimina las vulnerabilidades que podrían ser vectores potenciales de un ataque. Pero los equipos de TI no sólo deben prevenir los ataques, sino también garantizar la continuidad del negocio en caso de un ataque de ransomware Darkside a través de solución fiable de copia de seguridad y recuperación de datos .Algunos software de gestión integral de endpoints, como NinjaOne, ofrecen todas estas herramientas para salvaguardar tus datos, mitigar los riesgos y minimizar el tiempo de inactividad de los ataques de ransomware.