DarkSide est un exemple typique de gang cybercriminel à la recherche de « gros gibier » avec pour objectif de gagner beaucoup d’argent. Le groupe travaille par le biais de programmes d’affiliation - ils proposent leur "produit" ransomware à des "partenaires" qui peuvent, à leur tour, acheter l’accès à des organisations à d’autres cybercriminels et l’utiliser pour déployer le ransomware. Contrairement à d’autres groupes, DarkSide prétend avoir un code de conduite : ne pas s’attaquer aux hôpitaux, aux écoles, aux institutions gouvernementales et aux ONG. Fait intéressant, DarkSide a publié un commentaire sur leur site lundi. À en juger par la déclaration, ils ne s’attendaient apparemment pas à des conséquences de cette ampleur après la dernière attaque contre Colonial Pipeline et ils prévoient dorénavant d’introduire une sorte de "modération" afin d’éviter que ce genre de situation ne se reproduise.

Il existe deux versions du ransomware développé par DarkSide, un pour Windows et un pour Linux. Toutes deux sont dotées d’un schéma cryptographique sécurisé, de sorte que le décryptage ne peut se faire sans la clé du criminel. Par le passé, ils avaient commis une erreur en utilisant les mêmes clés pour plusieurs victimes ce qui avait permis aux sociétés de sécurité de créer un outil de décryptage pouvant aider les victimes à récupérer leurs fichiers sans payer la rançon. DarkSide a rapidement réagi à cette situation sur le forum darknet et a corrigé ce problème de sorte que les nouvelles victimes n’ont malheureusement plus cette option.
Les produits Kaspersky permettent de se prémunir du ransomware proposé par DarkSide et ont notamment détecté Trojan-Ransom.Win32.Darkside et Trojan-Ransom.Linux.Darkside.

Les attaques ciblées de ransomware sont devenues plus fréquentes ces deux dernières années. Il est aujourd’hui essentiel pour les entreprises de renforcer leur protection et celle de leurs réseaux afin de limiter les risques. Voici quelques conseils :

• Ne pas exposer les services de bureau à distance aux réseaux publics, sauf en cas d’absolue nécessité, et de toujours utiliser des mots de passe forts pour ces services ;
• Installer rapidement les correctifs disponibles pour les solutions VPN fournissant un accès aux salariés distants et faisant office de passerelles dans son réseau ;
• Garder toujours les logiciels à jour sur tous les appareils utilisés pour empêcher les ransomwares d’exploiter les vulnérabilités.

En outre, il est capital de concentrer la stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration des données vers Internet, et d’accorder une attention particulière au trafic sortant pour détecter les potentielles connexions des cybercriminels. L’utilisation de solution EDR (Endpoint Detection Response) et/ou MDR (Managed Detection Response) telles que Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response) permettent d’identifier et de stopper l’attaque dès le début du processus, avant que les attaquants n’atteignent leurs objectifs finaux.