El grupo de ransomware DarkSide sufre reveses tras el ataque Colonial Pipeline


Pero, ¿está el grupo de ciberdelincuencia en el conteo o se está quedando bajo por ahora debido a la indignación por el ataque al oleoducto?

ransomwareistock45867650nevarpp.jpg

Imagen: iStock / nevarpp

El grupo de ransomware que apuntó a Colonial Pipeline puede estar lamentando su ataque a raíz de las represalias tanto del gobierno de EE. UU. Como de la comunidad de ransomware. Al atacar a una empresa de infraestructura crítica, DarkSide ha llamado la atención sobre el problema del ransomware. Ese es un paso positivo para los buenos no tanto por los malos.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

Por un lado, el enfoque renovado ha llevado a la Casa Blanca a actuar emitiendo una orden ejecutiva sobre ciberseguridad y prometiendo perseguir a los grupos de ransomware. Por otro lado, esta mayor atención ha provocado ansiedad en la comunidad de ransomware, lo que finalmente ha obligado a DarkSide a cerrar sus operaciones, o eso parece.

El ataque contra Colonial Pipeline lo obligó a desconectar temporalmente sus operaciones de oleoducto. Aunque desde entonces la compañía ha vuelto a poner todo en marcha, ese movimiento relativamente breve contribuyó a un aumento en los precios de la gasolina y filas más largas en muchas estaciones de la costa este. El incidente muestra cómo un solo ataque contra la infraestructura crítica podría afectar a un amplio sector de la sociedad.

En respuesta, el presidente Biden firmó una orden ejecutiva la semana pasada pidiendo requisitos de seguridad más estrictos para el components y el application, que a menudo está plagado de vulnerabilidades que los ciberdelincuentes explotan fácilmente. Aunque la EO se aplica principalmente al gobierno federal, la esperanza es que los desarrolladores y proveedores también incorporen mejor la seguridad a los productos vendidos al sector privado.

La semana pasada, el gobierno de los EE. UU. En la forma del FBI señaló a DarkSide como el culpable del ataque de ransomware del oleoducto. Comenzando como un pirata informático a sueldo que apoyaba al cliente de ransomware como servicio REvil, DarkSide se lanzó por su cuenta a fines del año pasado. Esta colección suelta de ciberdelincuentes tuvo éxito con su propio negocio de ransomware como servicio en el que contrata afiliados para llevar a cabo fases específicas de un ataque.

Hablando sobre el ataque al oleoducto el jueves pasado y los grupos de ransomware en typical, el presidente Biden dijo que Estados Unidos está «van a buscar una medida para interrumpir su capacidad para operar. «También mencionó un nuevo grupo de trabajo del Departamento de Justicia» dedicado a enjuiciar a los piratas informáticos de ransomware con todo el alcance de la ley «. El presidente agregó que no cree que el gobierno ruso haya estado detrás del ataque, pero sí cree que las personas detrás del ataque vivo en Rusia.

Este nuevo enfoque en la lucha contra el ransomware y las repercusiones de atacar la infraestructura crítica ha puesto a DarkSide en problemas dentro de la comunidad de ransomware, creando una cadena de eventos que también ha afectado a otros grupos.

El 13 de mayo, el foro XSS, que funciona como una plataforma clandestina de delitos informáticos en ruso, anunció que prohibiría todas las actividades de ransomware en su foro, incluidos los programas afiliados de ransomware, el alquiler de ransomware y la venta de computer software de ransomware. En el pasado, XSS fue útil refugio para grupos de ransomware para reclutar afiliados para REvil, Babuk, DarkSide y otros, según la firma de seguridad Flashpoint. La decisión de prohibir más actividades se basó en las diferencias ideológicas entre el foro y los operadores de ransomware, así como en la atención de los medios por los incidentes de ransomware de alto perfil, dijo el administrador de XSS.

A las pocas horas de la mudanza de XSS, otros foros criminales siguieron su ejemplo. Esa misma noche, el foro de idioma ruso Exploit anunció que prohibir programas de socios de ransomware y eliminar todos los temas relacionados con el ransomware, según la empresa de riesgo electronic Electronic Shadows. El administrador del foro dijo que no estaban contentos con toda la atención no deseada que los programas de afiliados estaban trayendo al foro. Al día siguiente, RaidForums también reveló que estaba prohibiendo el ransomware en su foro, agregó Digital Shadows.

Además, el infame grupo REvil emitió una declaración a través de su representante, conocido como UNKN, que Los afiliados ahora tendrían que obtener permiso para dirigirse a una organización específica., Informó BleepingComputer. Este requisito representaría un cambio importante con respecto al pasado, cuando los afiliados generalmente tenían la libertad de golpear a cualquier víctima que eligieran. La declaración también estableció dos restricciones específicas: 1) Están prohibidos los ataques contra el sector social (por ejemplo, atención médica, instituciones educativas) y 2) Están prohibidos los ataques contra el sector gubernamental (estado) de cualquier país.

Pero la peor parte del retroceso ha sido contra el propio DarkSide. El 13 de mayo, los operadores del grupo dijeron que detener inmediatamente su programa de ransomware como servicio, emitiendo descifradores para todos los afiliados que luego podrían tratar directamente con las víctimas y liquidando todas las obligaciones financieras antes del 23 de mayo, según la firma de inteligencia de delitos cibernéticos Intel 471. El grupo también les dijo a los afiliados que su infraestructura había sido interrumpida por una agencia policial no especificada.

En un mensaje enviado a los afiliados, DarkSide dijo que perdió el acceso a su site, servidor de pagos y servidores CDN y que sus paneles de alojamiento habían sido bloqueados. El grupo también dijo que su página de destino, servidores y otros recursos serían eliminados dentro de las 48 horas.

Sin embargo, es posible que la aparente salida de DarkSide del mundo del ransomware no sea la última vez que nos enteremos de ellos. Los ciberdelincuentes que han llamado la atención indebidamente sobre sí mismos tienen la costumbre de resurgir en algún momento con una nueva identidad. DarkSide podría simplemente estar tratando de permanecer oculto hasta que pase la cobertura de los medios, planeando aparecer nuevamente cuando el calor esté apagado. Y otros grupos de ransomware probablemente estén usando la misma táctica.

«Es possible que estos operadores de ransomware estén tratando de retirarse del centro de atención más que descubrir repentinamente el mistake de sus métodos», dijo Intel 471. «Es muy possible que varios de los operadores operen en sus propios grupos cerrados, resurgiendo con nuevos nombres y variantes de ransomware actualizadas».

Ver también



Enlace a la noticia unique