Le ransomware DarkSide est un type de ransomware développé par le groupe cybercriminel « DarkSide ». Le ransomware Darkside crypte les fichiers sur les systèmes infectés, les rendant inaccessibles jusqu’à ce qu’une rançon soit payée en crypto-monnaie.
Qu’est-ce que DarkSide ?
DarkSide est un groupe cybercriminel qui utilise des ransomwares pour attaquer les entreprises et propose du Ransomware-as-a-service (RaaS) pour permettre à leurs clients de louer des outils de ransomware. Ils arment des pirates moins compétents sur le plan technique pour lancer des attaques complexes contre des entreprises, tandis que DarkSide prélève une partie du montant des rançons.
DarkSide est devenu tristement célèbre pour sa « double tactique d’extorsion » qui consiste à menacer les victimes qui refusent de payer leur rançon de vendre leurs données sur le marché noir ou de publier des informations sensibles sur son site web DarkSide Leaks. Ils ont volé plus de 100 Go de données et ont collecté environ 4 millions de dollars de rançon.
L’une des plus célèbres attaques DarkSide a visé Colonial Pipeline en mai 2021. Colonial Pipeline est un important opérateur de pipeline de carburant aux États-Unis et, en raison de l’attaque de DarkSide, il a été contraint d’interrompre temporairement ses activités, ce qui a entraîné une pénurie généralisée de carburant et des hausses de prix. Colonial Pipeline aurait payé une rançon de 4,4 millions de dollars.
Qu’est-il arrivé à DarkSide ?
À la suite de l’attaque très médiatisée de Colonial Pipeline en 2021, DarkSide a fait l’objet d’une surveillance accrue de la part des services de police internationaux. Face à la pression, le groupe a annoncé son retrait des opérations, invoquant la perte d’accès à son infrastructure et à ses portefeuilles de crypto-monnaies. Cependant, le modèle RaaS signifie que des restes de leurs outils et tactiques peuvent persister à travers d’autres groupes cybercriminels.
Comment fonctionne le ransomware DarkSide ?
Au lieu d’utiliser des e-mails de spear-phishing comme les ransomwares traditionnels, le ransomware DarkSide cible les infrastructures des bureaux virtuels. Une fois à l’intérieur, les attaquants établissent le commandement et le contrôle à l’aide du remote desktop protocol (RDP) sur le port 443, acheminé par TOR pour masquer leurs activités.
Le ransomware DarkSide exploitent le plus souvent deux vulnérabilités : CVE-2019-5544, un exploit dans OpenSLP, et CVE-2020-3992, une vulnérabilité dans VMware. Les deux vulnérabilités sont corrigées par des correctifs, mais les entreprises qui n’utilisent pas de logiciel de gestion des correctifs peuvent encore disposer des anciennes versions qui offrent au ransomeware DarkSide un point d’attaque.
Prévenez les attaques de ransomware en corrigeant les vulnérabilités critiques grâce au guide des bonnes pratiques de gestion des correctifs de NinjaOne.
Comment protéger vos appareils contre le ransomware DarkSide ?
-
Utiliser des sauvegardes
Maintenir des sauvegardes régulières des données critiques pour s’assurer qu’aucun fichier n’est perdu lors d’une attaque de ransomware DarkSide. Logiciel de sauvegarde pour la récupération des ransomwares protéger les données d’une entreprise en utilisant le cryptage en transit et en stockage, l’authentification multifactorielle (MFA) et des clés d’autorisation révocables. Avec la restauration en cas de ransomware, les techniciens peuvent rapidement restaurer tous les fichiers cryptés par le ransomware DarkSide.
-
Gestion des correctifs
La mise à jour régulière des logiciels permet de s’assurer que les vulnérabilités ne peuvent pas être exploitées par les ransomwares. En veillant à ce que le processus de gestion des correctifs de votre entreprise reste cohérent et fiable, vous pouvez empêcher le ransomware DarkSide d’exploiter les vulnérabilités et d’accéder à vos systèmes et réseaux.
-
Utiliser la segmentation du réseau
La visibilité de votre réseau vous permet de repérer les parties non autorisées et de prendre des mesures proactives telles que l’utilisation de la segmentation pour contenir les brèches potentielles et limiter l’accès entre les différentes parties du réseau. Un logiciel de surveillance et de gestion à distance (RMM) avec surveillance du réseau peut permettre à votre équipe informatique de faire face aux attaques de ransomware.
Améliorer la sécurité informatique contre les ransomwares
Alors que de plus en plus d’entreprises adoptent des configurations de travail à distance ou en mode hybride, le ransomware DarkSide représente une menace de plus en plus importante. En comprenant la menace que représente le ransomware DarkSide, les professionnels de la cybersécurité peuvent prendre des mesures proactives pour sécuriser leur infrastructure informatique.
L’application systématique de correctifs permet d’éliminer les vulnérabilités qui pourraient constituer des vecteurs potentiels d’attaque. Cependant, les équipes informatiques doivent chercher non seulement à prévenir les attaques, mais aussi à assurer la continuité des activités en cas d’attaque de ransomware Darkside grâce à une solution fiable de sauvegarde et de récupération des données Certains logiciels complets de gestion des terminaux, tels que NinjaOne, offrent tous ces outils pour sauvegarder vos données, atténuer les risques et minimiser les temps d’arrêt dus aux attaques de ransomware.