Los muchos lados de DarkSide, el grupo detrás del ataque de ransomware del oleoducto Colonial


Aunque le gusta promocionarse como «filantrópico», la banda DarkSide representa una peligrosa amenaza para las organizaciones de todo el mundo.

istock-824112174.jpg

Zephyr18, Getty Illustrations or photos / iStockphoto

El grupo de ransomware que atacó a Colonial Pipeline intentó en el pasado donar parte de sus ganancias a organizaciones benéficas en una versión retorcida de la historia de Robin Hood. Pero la pandilla conocida como DarkSide tiene un nombre apropiado, ya que ha demostrado que no dudará en apuntar a víctimas vulnerables para ganar dinero.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

DarkSide ha obtenido algo de publicidad últimamente, y no especialmente deseada, después de que el FBI y otros culparon al grupo por el reciente ataque de ransomware contra Colonial Pipeline, que obligó a la compañía a retirar sus operaciones. El ataque provocó que las campanas de alarma sonaran, ya que la distribución y entrega de flamable se considera parte de la infraestructura crítica en los EE. UU. Y un servicio del que dependen tantas organizaciones e individuos.

Pero, ¿quién es DarkSide, cuáles son sus motivos y cuáles son las conexiones del grupo con el gobierno ruso?

DarkSide comenzó como un hacker a sueldo que apoyaba a REvil, el infame proveedor de ransomware-as-a-services, según Jon DiMaggio, estratega jefe de seguridad de la firma de inteligencia de amenazas Analyst1. Después de adquirir la experiencia necesaria en el ciberdelito, el grupo se aventuró por su cuenta con una nueva variante de ransomware que comparte código con REvil. En noviembre de 2020, DarkSide comenzó a contratar a sus propios afiliados para llevar a cabo ciertas fases de un ataque, incluido el acceso inicial a una víctima y la ejecución de la carga útil del rescate.

Puramente impulsado por las ganancias, el grupo participa en la «caza mayor» en la que se dirige a grandes corporaciones y organizaciones, dijo a TechRepublic Vladimir Kuskov, jefe de exploración de amenazas de Kaspersky. A través de sus relaciones de afiliados, DarkSide vende su producto de ransomware a socios, que luego pueden comprar acceso a organizaciones de otros piratas informáticos como una forma de implementar el ransomware genuine.

El producto de ransomware está disponible tanto para Home windows como para Linux, dijo Kuskov. Ambas versiones tienen un esquema criptográfico seguro, por lo que el descifrado es imposible sin la clave del criminal. En el pasado, DarkSide usó las mismas claves para múltiples víctimas, lo que permitió a los profesionales de seguridad crear una herramienta de descifrado para ayudar a diferentes víctimas a recuperar sus archivos. Pero la pandilla ha corregido ese defecto desde entonces, por lo que las nuevas víctimas no tendrán tanta suerte.

A DarkSide le gusta presentarse a sí mismo como una fuerza casi benevolente, simplemente interesada en obtener ganancias. En el pasado, el grupo ha ofrecido parte de su botín mal habido a organizaciones benéficas, que rechazaron el dinero en función de cómo se obtuvo. Pero esta mentalidad de Robin Hood es más un truco de relaciones públicas, según DiMaggio.

«Cuando hicieron las donaciones (dos donaciones a $ 10,000 cada una), se informó en las organizaciones de noticias cibernéticas de todo el mundo», dijo DiMaggio. «Fue esencialmente un costo de internet marketing de $ 20 mil lo que hizo que su nombre se hiciera público. Todos estos tipos parecen tener grandes egos, por eso tienen comunicados de prensa y hablarán con los medios de comunicación y los investigadores. Así que esta donación probablemente fue un intento de aumentar su visibilidad «.

DarkSide también afirma tener un cierto código de conducta en el que promete no atacar hospitales, escuelas, instituciones gubernamentales, organizaciones sin fines de lucro y no comerciales. La página internet oscura del grupo incluso dice: «Nuestro objetivo es ganar dinero y no crear problemas para la sociedad».

La pandilla parece decidida a no permitir que su ransomware afecte a ninguna organización considerada essential para la sociedad, según Tony Prepare dinner, jefe de inteligencia de amenazas de DFIR en GuidePoint Safety. En cambio, DarkSide se dirige muy específicamente a las grandes corporaciones rentables.

Pero eso plantea una pregunta. ¿Por qué apuntar a Colonial Pipeline, una organización que brinda un servicio que muchos considerarían important para la sociedad? De hecho, DarkSide puede estar teniendo dudas sobre atacar una entidad tan visible.

En un nuevo mensaje en su sitio Dim World-wide-web, el grupo ofreció un tipo de disculpa / explicación, sugiriendo que uno de sus socios pudo haber estado detrás del ataque y prometiendo hacer un mejor trabajo investigando a las víctimas potenciales en el futuro. Bloomberg informó el lunes.

Sin embargo, el verdadero arrepentimiento de DarkSide puede estar en la publicidad que se generó como resultado del ataque.

«Cualquier acción que tenga como resultado un impacto negativo en su flujo de ingresos o la imposibilidad de pagar rescates, va en contra de sus objetivos a largo plazo declarados públicamente», dijo Prepare dinner. «Hacen todo lo posible para no interrumpir sectores verticales específicos de la industria con el fin de permanecer fuera del radar y al mismo tiempo seguir siendo rentables. En este caso certain, podría ser muy perjudicial para sus esfuerzos, ya que los pone en el centro de atención y podría resultar en esfuerzos para cerrar el grupo hacia abajo o potencialmente agregar OFAC (Oficina de Regulate de Activos Extranjeros) sanciones para dificultar que sus &#39clientes&#39 paguen sus rescates «.

Además, la declaración de DarkSide puede no ser tanto una disculpa como un intento de distanciarse de cualquier afiliación con el gobierno ruso, dijo DiMaggio. Los informes que preguntan sobre cualquier posible conexión con el gobierno pueden haber asustado al grupo, que no quiere molestar al Kremlin. Como tal, puede estar dando marcha atrás y tratando de separarse de cualquier participación del gobierno.

Eso luego plantea la pregunta de si DarkSide es apoyado o sancionado por el gobierno ruso. Es probable que el grupo opere en Rusia o en países de Europa del Este, pero no hay evidencia sustancial que lo vincule con el gobierno ruso, dijo Cook. DarkSide verifica para asegurarse de que sus ataques no afecten a ningún sistema en Rusia o Europa del Este, una acción que podría ser por patriotismo o simplemente por temor a represalias por parte del gobierno ruso.

Cualquier afiliación a Rusia es especulación, dijo DiMaggio. Pero esos atacantes están disponibles para el gobierno ruso, que parece proporcionar un refugio seguro para el grupo.

«Creo que es cuestión de tiempo antes de que tengamos evidencia de que los ataques de ransomware tienen alguna afiliación con el gobierno ruso, pero a día de hoy esa es mi opinión basada en evidencia circunstancial», agregó DiMaggio. «Sin embargo, el ransomware es un recurso tan poderoso que podría usarse como arma de destrucción en lugar de proporcionar ganancias financieras. Ese escenario parece más possible que ocurra si un gobierno está detrás del ataque».

Ver también



Enlace a la noticia authentic