Una mirada más cercana a la banda DarkSide Ransomware – Krebs on Security


La FBI confirmado esta semana que un grupo de ransomware relativamente nuevo conocido como Lado oscuro es responsable de un ataque que provocó Oleoducto colonial para cerrar 5,550 millas de tubería, varados innumerables barriles de gasolina, diesel y combustible para aviones en la Costa del Golfo. Aquí hay una mirada más cercana a la pandilla de delitos informáticos DarkSide, como se ve a través de sus negociaciones con una víctima estadounidense reciente que gana $ 15 mil millones en ingresos anuales.

Colonial Pipeline ha cerrado 5.500 millas de tubería de combustible en respuesta a un incidente de ransomware. Imagen: colpipe.com

Firma de inteligencia cibernética con sede en la ciudad de Nueva York Punto de inflamabilidad dijo que sus analistas evalúan con un grado moderado-fuerte de confianza que el ataque no tenía la intención de dañar la infraestructura nacional y que simplemente estaba asociado con un objetivo que tenía las finanzas para respaldar un pago importante.

"Esto sería coherente con las actividades anteriores de DarkSide, que incluían varios ataques de 'caza mayor', en los que los atacantes apuntan a una organización que probablemente posea los medios financieros para pagar el rescate exigido por los atacantes", observó Flashpoint.

En respuesta a la atención pública al ataque Colonial Pipeline, el grupo DarkSide buscó restar importancia a los temores sobre ataques generalizados a la infraestructura en el futuro.

“Somos apolíticos, no participamos en geopolítica, no necesitamos vincularnos con un gobierno definido y buscar otros motivos nuestros (sic)”, se lee en una actualización del blog DarkSide Leaks. “Nuestro objetivo es ganar dinero y no crear problemas para la sociedad. A partir de hoy, introducimos la moderación y comprobamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro ”.

DarkSide, que apareció por primera vez en los foros de piratería en ruso en agosto de 2020, es una plataforma de ransomware como servicio que los ciberdelincuentes examinados pueden utilizar para infectar empresas con ransomware y llevar a cabo negociaciones y pagos con las víctimas. DarkSide dice que se dirige solo a las grandes empresas y prohíbe a los afiliados lanzar ransomware en organizaciones de varias industrias, incluida la atención médica, los servicios funerarios, la educación, el sector público y las organizaciones sin fines de lucro.

Al igual que otras plataformas de ransomware, DarkSide se adhiere a la mejor práctica actual de los malos de la doble extorsión, que implica exigir sumas separadas tanto para una clave digital necesaria para desbloquear archivos y servidores, como un rescate separado a cambio de la promesa de destruir cualquier dato robado de la víctima.

En su lanzamiento, DarkSide buscó atraer a los afiliados de los programas de ransomware de la competencia mediante la publicidad de un sitio de filtración de datos de víctimas que obtiene "visitas estables y cobertura de medios", así como la capacidad de publicar datos de víctimas por etapas. Debajo de "¿Por qué elegirnos?" encabezado del hilo del programa ransomware, el administrador responde:

Un anuncio para el grupo de ransomware DarkSide.

“Alto nivel de confianza de nuestros objetivos. Nos pagan y saben que van a recibir herramientas de descifrado. También saben que descargamos datos. Mucha información. Es por eso que el porcentaje de nuestras víctimas que pagan el rescate es tan alto y se necesita tan poco tiempo para negociar ".

A fines de marzo, DarkSide introdujo una innovación de "servicio de llamadas" que se integró en el panel de administración del afiliado, lo que permitió a los afiliados organizar llamadas para presionar a las víctimas para que pagaran rescates directamente desde el panel de administración.

A mediados de abril, el programa de ransomware anunció una nueva capacidad para que los afiliados lancen ataques distribuidos de denegación de servicio (DDoS) contra objetivos siempre que se necesite presión adicional durante las negociaciones de rescate.

DarkSide también ha anunciado su voluntad de vender información sobre las próximas víctimas antes de que la información robada se publique en el blog de vergüenza de víctimas de DarkSide, para que los estafadores de inversiones emprendedores puedan vender las acciones de la empresa antes de la noticia.

“Ahora nuestro equipo y socios cifran muchas empresas que cotizan en NASDAQ y otras bolsas de valores”, explica DarkSide. “Si la empresa se niega a pagar, estamos listos para brindar información antes de la publicación, para que sea posible ganar en el precio de descuento de las acciones. Escríbanos en 'Contáctenos' y le proporcionaremos información detallada ".

DarkSide también comenzó a reclutar nuevos afiliados nuevamente el mes pasado, principalmente buscando probadores de penetración de red que puedan ayudar a convertir una sola computadora comprometida en una violación de datos completa y un incidente de ransomware.

Partes de un mensaje de reclutamiento de DarkSide, traducido del ruso. Imagen: Intel 471.

“Hemos crecido significativamente en términos de base de clientes y en comparación con otros proyectos (a juzgar por el análisis de la información disponible públicamente), por lo que estamos listos para hacer crecer nuestro equipo y varios de nuestros afiliados en dos campos”, explicó DarkSide. El anuncio continuó:

“Pruebas de penetración de la red. Buscamos una persona o un equipo. Te adaptaremos al entorno laboral y te proporcionaremos trabajo. Elevados recortes de beneficios, capacidad de apuntar a redes que no puede manejar por su cuenta. Nueva experiencia e ingresos estables. Cuando utiliza nuestro producto y se paga el rescate, garantizamos una distribución justa de los fondos. Un panel para monitorear los resultados de su objetivo. Solo aceptamos redes en las que pretenda ejecutar nuestra carga útil ".

DarkSide ha demostrado ser bastante despiadado con las empresas víctimas que tienen mucho dinero, pero se puede razonar con ellas. Firma de inteligencia de ciberseguridad Intel 471 observó una negociación entre el equipo de DarkSide y una compañía de víctimas de $ 15 mil millones en los EE. UU. que se vio afectada por una demanda de rescate de $ 30 millones en enero de 2021, y en este incidente, los esfuerzos de la víctima por negociar un pago más bajo finalmente reducen la demanda de rescate en casi dos tercios.

La nota de ransomware DarkSide.

El primer intercambio entre DarkSide y la víctima implicó el habitual intercambio de confianza, en el que la víctima pide garantías de que los datos robados se eliminarán después del pago.

Imagen: Intel 471.

Cuando la víctima se ofreció a pagar solo 2,25 millones de dólares, DarkSide respondió con una respuesta larga y burlona, ​​y finalmente acordó reducir la demanda de rescate a 28,7 millones de dólares.

"El temporizador está en marcha y en las próximas 8 horas su precio subirá a $ 60 millones", respondieron los delincuentes. "Entonces, estas son sus opciones, primero tome nuestra generosa oferta y pague 28,750 millones de dólares estadounidenses o invierta algo de dinero en computación cuántica para acelerar un proceso de descifrado".

Imagen: Intel 471.

La víctima se queja de que las negociaciones no han movido mucho el precio, pero DarkSide respondió que la empresa puede pagar fácilmente el pago. "No lo creo", escribieron. "No eres pobre y no eres un niño si lo arruinaste tienes que afrontar las consecuencias".

Imagen: Intel 471.

La firma de víctimas responde un día después diciendo que obtuvieron la autoridad para pagar $ 4.75 millones, y sus torturadores acuerdan reducir la demanda significativamente a $ 12 millones.

Imagen: Intel 471.

La víctima responde que esto sigue siendo una cantidad enorme e intenta obtener garantías adicionales del grupo de ransomware si acepta pagar los $ 12 millones, como un acuerdo para no apuntar a la empresa nunca más, o dar a nadie acceso a su robo. datos. La víctima también intentó que los atacantes entregaran una clave de descifrado antes de pagar la demanda de rescate completa.

Imagen: Intel 471.

La banda del crimen respondió que sus propias reglas le prohíben regalar una clave de descifrado antes de que se realice el pago completo, pero están de acuerdo con el resto de los términos.

Imagen: Intel 471.

La empresa víctima acepta pagar un rescate de $ 11 millones, y sus extorsionadores están de acuerdo y prometen no atacar ni ayudar a nadie más a atacar la red de la empresa en el futuro.

Imagen: Intel 471

Flashpoint evalúa que al menos algunos de los criminales detrás de DarkSide provienen de otro equipo de ransomware llamado "REvil", también conocido como "Sodinokibi" (aunque Flashpoint califica este hallazgo con una confianza "moderada"). REvil es ampliamente considerado como el nombre más nuevo de GandCrab, una oferta de ransomware como servicio que cerró en 2019 después de jactarse de haber extorsionado más de $ 2 mil millones.

Los expertos dicen que los ataques de ransomware seguirán aumentando en sofisticación, frecuencia y costo a menos que se haga algo para interrumpir la capacidad de los delincuentes de recibir pagos por tales delitos. De acuerdo a un informe a finales del año pasado desde Coveware, el pago promedio de ransomware en el tercer trimestre de 2020 fue de $ 233,817, un 31 por ciento más que en el segundo trimestre del año pasado. La firma de seguridad Emsisoft descubrió que casi 2.400 gobiernos, centros de salud y escuelas con sede en EE. UU. Fueron víctimas de ransomware en 2020.

El mes pasado, un grupo de pesos pesados ​​de la industria tecnológica prestó su imprimatur a un grupo de trabajo que entregó un informe de 81 páginas a la administración de Biden sobre formas de obstaculizar la industria del ransomware. Entre muchas otras recomendaciones, el informe instó a la Casa Blanca a hacer de la búsqueda, la frustración y la aprehensión de los delincuentes de ransomware una prioridad dentro de la comunidad de inteligencia de EE. UU. Y a designar el flagelo actual de la extorsión digital como una amenaza a la seguridad nacional.

Otras lecturas: La versión de Intel 471 sobre el ataque Colonial Pipeline.



Enlace a la noticia original