El grupo de hackers acusado del ataque de ransomware de este fin de semana en el oleoducto Colonial insistió en que solo quería ganar dinero y lamentó “crear problemas para la sociedad”.
En un comunicado, el grupo criminal conocido como DarkSide señaló que es “apolítico” e intentó desviar la culpa del ataque a los “socios” que utilizaron su tecnología de ransomware.
El FBI nombró ayer a DarkSide como el responsable de un hackeo gigante que dejó fuera de servicio un oleoducto clave de Estados Unidos durante tres días, amenazando con aumentar los precios del combustible y obligando al gobierno a reclamar poderes de emergencia para mantener el flujo de suministros.
“El FBI confirma que el ransomware DarkSide es responsable de poner en peligro las redes Colonial Pipeline”, indicó la agencia en un comunicado. “Seguimos trabajando con la compañía y nuestros socios del gobierno en la investigación”.
- Te recomendamos Gana 14 mil dólares a la semana trabajando para esta empresa de camiones en Texas Negocios
Los ataques de ransomware involucran a hackers que toman el control de los datos o sistemas de software de una organización, bloqueando a los propietarios con cifrado hasta que se realiza un pago.
“Nuestro objetivo es ganar dinero y no crear problemas para la sociedad”, aseguró DarkSide, y agregó que “va a verificar cada empresa que nuestros socios quieran cifrar para evitar consecuencias sociales en el futuro”.
DarkSide surgió como uno de los principales equipos de ransomware en agosto pasado, y se cree que un equipo experimentado de delincuentes en línea lo maneja desde Rusia. La compañía de ciberseguridad CrowdStrike, con sede en Silicon Valley, rastreó los orígenes de DarkSide hasta el grupo de hackeo criminal conocido como Carbon Spider, que “reformó drásticamente sus operaciones” el año pasado para enfocarse en el campo de rápido crecimiento del ransomware.
“Somos un producto nuevo en el mercado, pero eso no significa que no tengamos experiencia y surgimos de la nada”, expresó anteriormente DarkSide.
Brett Callow, analista del grupo de seguridad cibernética Emsisoft, dijo: “DarkSide no ataca en Rusia. Comprueba el idioma que se utiliza en el sistema y, si es ruso, se cierra sin encriptar”.
Añadió que el grupo alquila sus servicios en la web oscura. “DarkSide es una operación de ransomware como servicio. Supongo que el ataque a Colonial lo realizó un afiliado y al grupo le preocupa el nivel de atención que atrajo”.
En una señal de cómo el ransomware se convirtió en una industria profesionalizada, DarkSide opera su propia “oficina de prensa” y afirma que tiene un enfoque ético para elegir sus objetivos. El sitio web de DarkSide afirma que evitará atacar instituciones médicas como hospitales, asilos, desarrolladores de vacunas, proveedores de servicios funerarios, escuelas, universidades y organizaciones sin fines de lucro y gubernamentales.
Eso contrasta con el resto de la industria del ransomware, para quienes los proveedores de atención de salud y el sector público se encuentran entre los principales objetivos. Colonial Pipeline es una empresa privada propiedad de inversionistas como Shell, KKR y Koch Capital.
La firma de seguridad de tecnología de la información Kaspersky afirmó que DarkSide tiene como objetivo “generar tanto ruido en línea como sea posible”.
“Una mayor atención de los medios puede llevar a un temor más generalizado a DarkSide, lo que puede significar una mayor probabilidad de que la próxima víctima decida solo pagar en lugar de causar problemas”, dijo el investigador de Kaspersky Roman Dedenok en una publicación reciente en un blog.
Según se informa, sus objetivos anteriores incluyen el grupo inmobiliario Brookfield, Discountcar.com, una filial canadiense del grupo de alquiler de coches Enterprise, y CompuCom, un proveedor de soporte informático con sede en Estados Unidos propiedad de la matriz de Office Depot.
Arete, que brinda servicios de respuesta a incidentes a víctimas de delitos cibernéticos, descubrió que DarkSide se dirige más comúnmente a compañías de servicios profesionales y de fabricación, y que sus demandas de rescate oscilan entre 3 millones y 10 millones de dólares, aunque el sitio de noticias de seguridad Bleeping Computer encontró evidencia de rescates con montos de cientos de miles de dólares también.
En una entrevista por correo electrónico con el blog de seguridad DataBreaches.net, un representante de DarkSide que se hizo llamar DarkSupp dijo que el equipo investiga cuánto puede pagar su objetivo —por ejemplo, al revisar su cobertura de seguro— antes de decidir cuánto va a pedir de rescate.
“Solo atacamos a compañías que pueden pagar el monto solicitado”, dijo anteriormente DarkSide. “No queremos acabar con su negocio”.
De acuerdo con las capturas de pantalla de una víctima que publicó Bleeping Computer, DarkSide envía a cada objetivo una lista clara de instrucciones con el título de “Bienvenido a Dark”. Se presentan detalles específicos y muestras de los datos robados y se advierte a las víctimas que se van a publicar en línea automáticamente al menos durante seis meses si se niegan a pagar. Esta técnica de bloquear a las víctimas de sus sistemas y también amenazar con avergonzarlas al hacer públicos los datos robados se conoce como “doble extorsión”.
Los hackers de DarkSide también intentan tranquilizar a sus víctimas al decirles que van a jugar bajo sus propias reglas, diciendo: “Valoramos nuestra reputación. Si no hacemos nuestro trabajo y responsabilidades, nadie nos pagará”. Incluso ofrece brindar soporte técnico, “en caso de problemas” utilizando la herramienta de descifrado que reciben sus víctimas cuando pagan.
Los ataques de ransomware registraron un aumento de 62 por ciento el año pasado, según SonicWall, incluidos más de 200 millones en Estados Unidos. Eso en parte se alimentó por la pandemia de covid-19, ya que las empresas se vieron obligadas a dejar las oficinas y lidiar con la tarea de proteger a sus empleados a distancia, así como el ascenso de bitcoin, a través del cual muchos hackers exigen el pago.
Con información de: James Politi