Meilleures pratiques pour prévenir le ransomware DarkSide
13174
Created On 05/12/21 22:09 PM - Last Modified 03/03/23 02:04 AM
Question
Qu’est-ce que le ransomware DarkSide et quelles sont les meilleures mesures d’atténuation et de prévention?
Environment
- Tout PAN-OS
- Licence antivirus
Answer
Qu’est-ce que le ransomware DarkSide?
Le ransomware DarkSide a été vu pour la première fois en août 2020 sur les forums de piratage en langue russe. Il s’agit d’une plate-forme de ransomware en tant que service que les cybercriminels peuvent louer. DarkSide est principalement connu pour cibler uniquement les grandes entreprises dans plusieurs secteurs, notamment les soins de santé, les services funéraires, l’éducation, le secteur public et les organisations à but non lucratif.
Qui est la dernière cible du ransomware DarkSide ?
Colonial Pipeline, a appris la société le samedi 8 mai, à 12h30 PM.
Voici le blog de l’entreprise:Colonial Pipeline System Disruption
CISA and FBI alert.
Voici l’alerte envoyée par le et qui explique les étapes détaillées et CISA le FBI processus d’atténuation.
La chaîne de destruction et les acteurs de la menace.
- La première étape consiste à obtenir un accès initial en explorant les comptes accessibles à distance, , VDIRDPet plus encore par hameçonnage.
- La deuxième étape consiste à chiffrer et à voler des données sensibles.
- La DarkSide ransomware utilise Salsa20 et RSA le cryptage. L’extension de fichier peut être aléatoire.
- Pour le commandement et le contrôle, l’auteur de la menace utilise principalement « The Onion Router(TOR) », dans certains cas, les acteurs de la menace ont également utilisé Cobalt Strike.
- Le mode de paiement est avec Bitcoin et Moreno crypto-monnaies.
Voici l’avis PAN pour les meilleures pratiques pour la prévention des ransomwares.
PAN couverture:
Palo Alto Networks couvre de nombreux hachages, URL et IP adresses liés à DarkSide. Ces IOC sont fournis dans les packages de menaces Antivirus, Anti-Spyware et URL Filtrage. Des informations supplémentaires contiennent la couverture actuelle de la signature DarkSideAV.
Article de l’Unité 42 :
Voici l’article de l’Unité 42.
Mesures d’atténuation basées sur les documents de meilleures pratiques de Palo Alto Networks, et CISA/FBI recommandations:
- Les blogs de l’Unité 42 couvrent en détail les étapes de migration.
- Voici l’avis PAN pour les meilleures pratiques pour la prévention des ransomwares.
- Signature antivirus, assurez-vous que tous les protocoles, HTTP2, , POP3 et autres, IMAPsont définis sur « reset-both ».
- La vulnérabilité et les signatures de logiciels espions avec la gravité élevée et critique pour « réinitialiser les deux » ou « supprimer » est une bonne pratique.
- Votre URL filtrage et la définition des catégories suivantes à bloquer: commande et contrôle, dynamique DNS, piratage, haut risque, contenu insuffisant, logiciels malveillants, domaines nouvellement enregistrés, non résolu, parqué, hameçonnage, douteux, inconnu. Voici un document sur les meilleures pratiques.
- SSL Le déchiffrement est l’une des exigences pour détecter les modèles malveillants, car la plupart de nos signatures utilisent le http_decoder pour inspecter le contenu de la charge utile. Le firewall ne peut inspecter et chiffrer le trafic (TLS//SSL)HTTPS que s’il est déchiffré à l’aide du profil de déchiffrement et policy. La documentation sur la configuration du déchiffrement policy est disponible ici.
- Profil de blocage de fichier : bloquez les fichiers compressés et zip protégés par mot de passe.
- L’accès à distance et IT les OT réseaux nécessitent une authentification multifacteur.
- Utilisez des filtres anti-spam puissants pour empêcher les e-mails de phishing d’atteindre l’utilisateur final.
- Surveillance et amélioration continues de la posture de sécurité basée sur des alertes et des journaux de menaces.
- Former en permanence IT et utiliser l’ingénierie sociale.
- Trafic réseau :
- IP-Base : interdisent les communications d’entrée et de sortie avec des adresses malveillantes connues IP .
- URL-based : empêchez les utilisateurs d’accéder à des sites Web malveillants en mettant en œuvre URL des listes de blocage et des listes d’autorisation.
- Mise à jour logicielle : faites en sorte que votre mise à jour logicielle soit centralisée et contrôlée.
- Stratégie d’évaluation basée sur les risques pour déterminer quels actifs réseau et quelles OT zones devraient participer au programme de gestion des correctifs.
- limite RDP
- Limiter l’accès aux ressources
- Limiter les tentatives d’accès aux ressources
- Analyse régulière des ressources par antivirus/antimalware.
Additional Information
Voici la liste des signatures Darkside connues, cette liste est valide au moment de la publication. PaloAlto Networks se réserve le droit de remplacer ces signatures en fonction de leur prévalence dans WildFire le cloud.
Signature Name UTID
trojan/Win32 EXE.darkside.aa 373806183
trojan/Win32 EXE.darkside.z 407907864
Virus/Linux.WGeneric.bbunth 402945111
Virus/Win32.WGeneric.anajbm 366300777
Virus/Win32.WGeneric.ankojr 369421158
Virus/Win32.WGeneric.anyfxg 373481343
Virus/Win32.WGeneric.aumvzg 387811014
Virus/Win32.WGeneric.awzjiz 391455654
Virus/Win32.WGeneric.axqzpj 392983785
Virus/Win32.WGeneric.bayxfp 400229172
Virus/Win32.WGeneric.bbdzgp 400676694
Virus/Win32.WGeneric.bbdzul 400678365
Virus/Win32.WGeneric.bbeceq 400685469
Virus/Win32.WGeneric.bbfjpf 400838946
Virus/Win32.WGeneric.bcltkq 405810150
Virus/Win32.WGeneric.bdbmwd 407418306
Virus/Win32.WGeneric.bdjddu 408156777
Virus/Win32.WGeneric.bdulsc 409279299