Se cree que DarkSide tiene su sede en Rusia y está formado por ciberdelincuentes veteranos. En una declaración (arriba) luego del ataque colonial, el grupo negó ser político y dijo que su único objetivo era ‘ganar dinero’.
El ataque de ciberextorsión que obligó al cierre del oleoducto de combustible más grande de Estados Unidos fue llevado a cabo por una banda criminal conocida como DarkSide que se cree que tiene su sede en Rusia, donde se les da rienda suelta para atacar a los países occidentales.
DarkSide está formado por ciberdelincuentes veteranos, pero insiste en que no es político. Sin embargo, como muchos otros, DarkSide parece salvar a las empresas de habla rusa, kazaja y ucraniana, lo que sugiere un vínculo con Rusia.
Las raquetas de ransomware ahora están dominadas por ciberdelincuentes de habla rusa que están protegidos, y a veces empleados, por agencias de inteligencia rusas, según funcionarios estadounidenses.
Los expertos cibernéticos dicen que Rusia da rienda suelta a los piratas informáticos que se dirigen a Estados Unidos y países europeos.
DarkSide ya se ha jactado de haber recibido millones de dólares en rescate de 80 empresas de EE. UU. Y Europa.
«Si trabajan para el estado o no es cada vez más irrelevante, dada la política obvia de Rusia de albergar y tolerar el ciberdelito», dijo Dmitri Alperovitch, cofundador de CrowdStrike, a NBC sobre la reciente piratería de DarkSide.
El FBI confirmó el lunes que DarkSide fue responsable del ataque a Colonial Pipeline que tiene a los expertos por temor a una escasez generalizada de gas y aumentos significativos de precios.
La agencia federal no mencionó los vínculos de DarkSide con Rusia.
El mes pasado, Estados Unidos impuso sanciones a Rusia por actividades malignas, incluida la piratería informática respaldada por el estado. El Departamento del Tesoro dijo que la inteligencia rusa ha permitido ataques de ransomware cultivando y cooptando a piratas informáticos criminales y dándoles un puerto seguro.
El FBI confirmó el lunes que DarkSide fue responsable del ataque a Colonial Pipeline (arriba) que tiene a los expertos por temor a la escasez de gas y al alza significativa de precios.
El grupo ha publicado recibos de donaciones que afirma haber hecho a organizaciones benéficas estadounidenses a raíz de los ataques de rescate.
Los piratas informáticos cultivan una imagen de Robin Hood de robar a las corporaciones y dar una parte a la caridad. En la foto se muestra un recibo que el grupo afirma que muestra que donan una parte de sus rescates a organizaciones benéficas.
DarkSide, que cultiva una imagen de Robin Hood de robar a las corporaciones y dar una parte a la caridad, dijo en un comunicado publicado en la web oscura que su único objetivo era «ganar dinero» y no crear problemas para la sociedad.
«Somos apolíticos, no participamos en geopolítica», se lee en el comunicado. «Nuestro objetivo es ganar dinero y no crear problemas para la sociedad».
«A partir de hoy, introducimos la moderación y comprobamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro».
Colonial, que tiene su sede en Atlanta, Georgia, aún no ha dicho si ha pagado o está negociando un rescate con los piratas informáticos.
A pesar de que solo surgió en agosto del año pasado, DarkSide parece estar muy organizado, según los expertos en ciberseguridad.
Aquellos que han rastreado a DarkSide dijeron que parece estar compuesto por ciberdelincuentes veteranos que se concentran en sacar tanto dinero como puedan de sus objetivos.
«Son muy nuevos pero están muy organizados», dijo Lior Div, director ejecutivo de la firma de seguridad Cybereason, con sede en Boston.
«Parece que alguien que ha estado allí, hizo eso».
DarkSide es uno de varios grupos de extorsionadores digitales cada vez más profesionalizados, con una lista de correo, un centro de prensa y una línea directa para víctimas para ayudar a facilitar el pago de rescates.
Los expertos dicen que DarkSide probablemente estaba compuesto por veteranos de ransomware y que surgió de la nada a mediados del año pasado e inmediatamente desató una ola de crimen digital.
«Es como si alguien hubiera encendido el interruptor», dijo Div, quien señaló que más de 10 de los clientes de su empresa han combatido los intentos de robo del grupo en los últimos meses.
DarkSide encuentra vulnerabilidades en una red, obtiene acceso a cuentas de administrador y luego recopila datos del servidor de la víctima y los cifra. El software deja un archivo de texto de nota de rescate con demandas (en la imagen de arriba)
El sitio de DarkSide en la web oscura insinúa los crímenes pasados de sus piratas informáticos con afirmaciones de que anteriormente ganaron millones con la extorsión y que solo porque su software era nuevo ‘eso no significa que no tengamos experiencia y venimos de la nada’.
El sitio también presenta una galería al estilo del Salón de la Vergüenza de datos filtrados de víctimas que no han pagado.
Publicita documentos robados de más de 80 empresas en Estados Unidos y Europa.
Una de las víctimas más recientes que figura en su lista fue el fabricante de alfombras con sede en Georgia Dixie Group Inc, que reveló públicamente un intento de represión digital que afectó a «partes de sus sistemas de tecnología de la información» el mes pasado.
DarkSide se ha centrado anteriormente en los coches de alquiler de Enterprise, la firma canadiense de bienes raíces Brookfield Residential y una subsidiaria de Office Depot llamada CompuCom.
El grupo tiene un supuesto código de conducta destinado a convertir al grupo en socios comerciales confiables, aunque despiadados.
Han declarado públicamente que prefieren no atacar hospitales, escuelas, organizaciones sin fines de lucro y gobiernos.
En su lugar, persiguen a las grandes organizaciones que pueden permitirse pagar grandes rescates y afirman que donan una parte de sus ganancias a organizaciones benéficas.
«Antes de cualquier ataque, analizamos cuidadosamente su contabilidad y determinamos cuánto puede pagar en función de sus ingresos netos», ha dicho anteriormente el grupo.
El grupo ha publicado recibos de donaciones que afirma haber hecho a organizaciones benéficas estadounidenses a raíz de los ataques de rescate.
Según la firma de seguridad de datos Arete, DarkSide encuentra vulnerabilidades en una red, obtiene acceso a cuentas de administrador y luego recopila datos del servidor de la víctima y los cifra.
El software deja un archivo de texto de nota de rescate con demandas.
Las fuentes le dijeron a Bloomberg News que los piratas informáticos robaron casi 100 gigabytes de datos de la red de Colonial el jueves antes de exigir un rescate. Colonial, que tiene su sede en Georgia, aún no ha dicho si ha pagado o está negociando un rescate con los piratas informáticos.
El ataque al Colonial Pipeline, que va de Texas a Nueva Jersey y transporta el 45 por ciento del suministro de combustible de la costa este, es el mayor asalto a la infraestructura energética de EE. UU. En la historia y ha causado conmoción en toda la industria.
Los rescates promedian más de $ 6.5 millones y los ataques conducen a un promedio de cinco días de tiempo de inactividad para la empresa.
A veces, los datos robados son más valiosos para los delincuentes de ransomware que la influencia que obtienen al paralizar una red porque algunas víctimas son reacias a ver información confidencial suya descargada en línea.
El software de rescate funciona cifrando los datos de las víctimas y, por lo general, los piratas informáticos le ofrecerán a la víctima una clave a cambio de pagos en criptomonedas que pueden ascender a cientos de miles o incluso millones de dólares.
Si la víctima se resiste, los piratas informáticos amenazan con filtrar datos confidenciales en un intento por aumentar la presión.
Según algunos expertos, el código de DarkSide es un ransomware estándar, pero Div dijo que lo que los distingue es el trabajo de inteligencia que llevan a cabo contra sus objetivos de antemano.
Por lo general, ‘saben quién es el gerente, saben con quién están hablando, saben dónde está el dinero, saben quién es el que toma las decisiones’, dijo Div.
En ese sentido, Div dijo que la selección de Colonial Pipeline, con sus consecuencias potencialmente masivas para los estadounidenses a lo largo y ancho de la costa este, puede haber sido un error de cálculo.
«No es bueno para los negocios para ellos cuando el gobierno de Estados Unidos se involucra, cuando el FBI se involucra», dijo.
Es lo último que necesitan.
El FBI emitió un comunicado el lunes, diciendo: ‘El FBI confirma que el ransomware Darkside es responsable del compromiso de las redes Colonial Pipeline. Seguimos trabajando con la empresa y nuestros socios gubernamentales en la investigación ‘.
