Da quando DARKSIDE è apparso nell’agosto 2020, è attivo un programma di affiliazione ransomware-as-a-service (RaaS). I creatori di DARKSIDE e i loro affiliati, durante le attività condotte in questi mesi, hanno colpito organizzazioni in più di 15 Paesi in differenti settori. Come anche altri gruppi ransomware, gli affiliati di DARKSIDE effettuano le attività di estorsione con diversi obiettivi: ottenere i dati delle vittime, distribuire il ransomware DARKSIDE e minacciare di pubblicare dei dati ottenuti dalle vittime su Internet, così da spingerle a pagare il riscatto richiesto.
Mandiant monitora diversi gruppi di aggressori che diffondono DARKSIDE, con vari livelli di sofisticatezza tecnica durante le loro intrusioni. La maggior parte di questi gruppi sfrutta debolezze e vulnerabilità note, tuttavia almeno uno di questi gruppi ha utilizzato una vulnerabilità zero-day, che è stata in seguito identificata e per cui sono ora a disposizione le patch.
Maggiori informazioni sulle tattiche, tecniche e procedure (TTPs) e gli affiliati che utilizzano il ransomware DARKSIDE sono disponibili a questo link.
“Mandiant ha osservato diversi aggressori menzionare, in alcune loro comunicazioni, un annuncio del 13 maggio mandato agli affiliati del “servizio” DARKSIDE RaaS. Questo annuncio affermava che i gestori avevano perso l’accesso alla loro infrastruttura, incluso il loro blog, i moduli di pagamento e sistemi CDN e che avrebbero, pertanto, chiuso il loro “servizio”. Le chiavi per la decifratura sarebbero state fornite anche alle aziende che non avevano ceduto al pagamento del riscatto e ai loro affiliati per la relativa distribuzione. L’annuncio sembra essere motivato dalla pressione esercitata dalle forze dell’ordine e dagli Stati Uniti. Noi di Mandiant non abbiamo convalidato in maniera indipendente queste affermazioni e abbiamo, nel frattempo, osservato diverse speculazioni da parte di altri aggressori che portano a credere che questo sia solamente un escamotage per un’uscita di scena senza conseguenze”, dichiara Kimberly Goody, Senior Manager, Financial Crime Analysis, Mandiant Threat Intelligence.
