La soga parecía estrecharse en torno a los hackers de DarkSide, quienes están detrás del ciberataque al operador de oleoductos Colonial Pipeline en Estados Unidos: los expertos dicen que sus servidores quedaron fuera de servicio y sus mensajes incluso borrados por una gran comunidad de ciberdelincuentes rusos.
La firma de ciberseguridad Recorded Future dijo que el hacker que exigió un rescate a Colonial Pipeline admitió que su grupo DarkSide había perdido acceso a varios de los servidores utilizados para alojar su blog o para cobrar.
- Te recomendamos Biden planteará ciberataques en diálogo con Putin; Rusia no atacó oleoducto, afirma Estados Unidos
Accesible a través del navegador TOR en la darknet, la versión clandestina de internet, el sitio de DarkSide no podía verse hoy por la mañana.
"Hace unas horas perdimos el acceso a la parte pública de nuestra infraestructura, a saber: Blog. Servidor de pago. Servidores DoS", escribió Darksupp, citado por Recorded Future.
Los ataques de denegación de servicio (DoS) tienen como objetivo cerrar un sitio web, sobrecargándolo con tráfico.
Darksupp también indicó que habían sido eliminados los fondos de criptomonedas, utilizados para pagar los rescates exigidos por el grupo de piratas informáticos.
Un analista de Recorded Future cree, sin embargo, que esto puede ser un subterfugio de DarkSide para poder cerrar su propia infraestructura y así evitar pagarle a sus asociados.
Kimberly Goody, jefe de análisis de delitos financieros de Mandiant, una subsidiaria del gigante estadunidense de ciberseguridad FireEye, dijo en un comunicado enviado a la AFP que su compañía "no pudo validar de forma independiente las afirmaciones" sobre el desmantelamiento de DarkSide.
"Algunas especulaciones de otros actores indican que podría ser una estafa de salida ('exit scam')", agrega, en referencia a un esquema destinado a hacer creer en un cierre para quedarse con la mayor parte del botín.
-DarkSide eliminado de foro ruso -
No hubo evidencia de quién pudo haber forzado la desconexión del sitio web de DarkSide, pero la cuenta de Twitter de 780th Military Intelligence Brigade, una brigada de operaciones ofensivas del ciberespacio del Ejército estadunidense, retuiteó el informe de Recorded Future.
DarkSide surgió públicamente por primera vez en agosto de 2020 y se especializa en lo que se conoce como "ransomware": programas que se infiltran en la red informática de una víctima y encriptan datos en sus máquinas, bloqueando así las operaciones. Luego, los delincuentes exigen el pago de un rescate para liberar los datos.
El FBI, identificó el lunes a DarkSide como el grupo detrás del "ransomware" contra Colonial Pipeline la semana pasada, que forzó el cierre de la operativa de la empresa.
El mismo lunes, el presidente Joe Biden acusó a piratas informáticos "con sede en Rusia" de llevar a cabo el ciberataque, sin afirmar que el gobierno ruso estuviera directamente involucrado.
Biden dijo ayer que estaba "en comunicación directa con Moscú sobre la necesidad de que los países responsables tomen medidas decisivas contra estas redes de 'ransomware'".
Recibido en audiencia por un grupo parlamentario, el general Paul M. Nakasone, director del comando conjunto a cargo de la ciberseguridad (USCYBERCOM) y la Agencia de Seguridad Nacional (NSA) de Estados Unidos, aseguró que su función era "presentar una serie de oportunidades operativas o de planes de acción a la consideración del secretario de Estado o el presidente".
Por otra parte, todas las publicaciones de Darkside en el foro de ciberpiratas XSS, de habla rusa, se han eliminado, según investigadores de la plataforma de protección de riesgos digitales Dark Shadows.
En cambio, los anuncios de reclutamiento de DarkSide en otra popular plataforma de piratas informáticos en ruso, Exploit, aún estaban activos, aunque no se han actualizado desde abril y no refieren al ataque contra Colonial Pipeline.
De acuerdo con información de Bloomberg y otros medios estadunidenses, Colonial Pipeline habría pagado 5 millones de dólares a los piratas informáticos.
Consultado por AFP, un vocero de Colonial Pipeline no hizo comentarios y solo indicó que hay una investigación en curso.
La administración Biden también se abstuvo de comentar y enfatizó que las empresas deberían fortalecer su seguridad informática.
Según el sitio Elliptic, que rastrea el uso criminal de criptoactivos, la billetera bitcoin de DarkSide recibió 75 BTC (aproximadamente 4.4 millones de dólares) el 8 de mayo, el día después del ataque a Colonial Pipeline.
En total, el grupo ha recibido el equivalente a 17.5 millones de dólares desde principios de marzo, asegura Elliptic.
El ataque contra los sistemas informáticos de Colonial Pipeline, que transporta cerca del 45 por ciento del combustible desde el Golfo de México a la costa este de Estados Unidos, obligó al operador a clausurar el conjunto de sus operaciones.
Ello provocó reacciones de pánico de automovilistas que temían escasez de combustible y acudieron en masa a estaciones de servicio para abastecerse.
Colonial Pipeline afirmó, sin embargo, en la noche de ayer que recuperó el conjunto de su sistema y comenzó a distribuir combustibles.
AESC