Lectura oscura | Seguridad | Proteja el negocio



Los investigadores han descubierto una variante de DarkSide capaz de buscar información de partición y comprometer múltiples particiones de disco, un comportamiento que aún no han visto en ransomware.

La variante fue escrita por el grupo DarkSide relacionado con el ataque a Colonial Pipeline, aunque los investigadores de FortiGuard Labs que la encontraron dicen que no se usó en el ataque a la tubería. Actualmente, este ataque parece estar limitado a organizaciones específicas, dicen, y no es el resultado de una «actividad very similar a un gusano generalizada».

En el momento en que lo encontraron, los investigadores creían que este ransomware estaba «buscando particiones para encontrar posibles particiones ocultas configuradas por administradores de sistemas para ocultar archivos de respaldo», afirman en una publicación de website. Un análisis más detallado reveló que los atacantes tienen una técnica más sofisticada: esta variante de DarkSide busca particiones en un sistema de arranque múltiple para encontrar archivos adicionales para cifrar. Como resultado, puede causar más daño y presionar a las organizaciones para que paguen el rescate.

Esta variante también busca el controlador de dominio y se conecta a su Lively Listing a través de la autenticación anónima LDAP, afirman los investigadores, señalando que los atacantes saben que Energetic Directory es «básicamente una mina de oro de información de red».

El ransomware DarkSide es «eficiente y bien construido», escribieron los investigadores, lo que significa que la organización incluye ingenieros de program experimentados. Dada la sofisticación del malware, creen que este no es el trabajo de una persona, sino de un grupo con recursos y tiempo significativos.

Leer el publicación completa del site de Fortinet para más información.

Manténgase al día con las últimas amenazas de ciberseguridad, vulnerabilidades recién descubiertas, información sobre filtraciones de datos y tendencias emergentes. Entregado diariamente o semanalmente directamente en su bandeja de entrada de correo electrónico.

Suscribir



Enlace a la noticia original