Tecnología

El atacante del oleoducto Darkside de repente se apaga; sabemos que

El atacante del oleoducto Darkside de repente se apaga; sabemos que

Darkside, el grupo de ransomware que interrumpió la distribución de gasolina en gran parte de los EE. UU. Esta semana, se ha oscurecido, lo que no deja claro si el grupo cesará, suspenderá o cambiará las operaciones, o simplemente organizará un fraude de salida.

El jueves, los ocho sitios web oscuros de Darkside se comunicaban con el público. bajóy permanecen inactivos al momento de la publicación. De la noche a la mañana, una publicación atribuida a Darkside, sin evidencia que mostrar, alegaba que el sitio web del grupo y la infraestructura de distribución de contenido habían sido incautados por las fuerzas del orden, junto con la criptomoneda que había recibido de las víctimas.

El perro se comió nuestro dinero

«Estos servidores son actualmente inaccesibles a través de SSH y los paneles de alojamiento han sido bloqueados», se lee en una traducción de la publicación en ruso publicada el viernes por la firma de seguridad Intel471. “El soporte de alojamiento no proporciona ninguna información excepto a solicitud de las agencias de aplicación de la ley. Además, unas horas después de la incautación, se retiraron fondos del servidor de pagos (propiedad de nosotros y de nuestros clientes) a una cuenta desconocida. «

La publicación continuó afirmando que Darkside distribuiría un descifrador de forma gratuita a todas las víctimas que aún no hayan pagado un rescate. Hasta la fecha, no ha habido informes de que el grupo haya cumplido esta promesa.

Si es así, las incautaciones serían un gran golpe para la aplicación de la ley. Según las cifras recientemente publicadas de la compañía de seguimiento de criptomonedas Chainalysis, Darkside tuvo ganancias netas de al menos $ 60 millones en los primeros siete meses, de los cuales $ 46 millones en los primeros tres meses de este año.

Identificar un servicio Tor oculto también sería una gran puntuación, ya que probablemente significaría que el grupo cometió un grave error de configuración al configurar el servicio o que la policía conocía una falla de seguridad grave en la forma en que funciona la web oscura. (Los analistas de Intel471 dicen que parte de la infraestructura de Darkside está disponible públicamente, es decir, Internet normal, para que el malware se conecte).

Sin embargo, hasta el momento no hay evidencia que confirme públicamente estas extraordinarias afirmaciones. Cuando los organismos encargados de hacer cumplir la ley de los Estados Unidos y los países de Europa occidental incautan un sitio web, normalmente publican un aviso en la página de inicio del sitio web en el que se informa de la incautación. El siguiente es un ejemplo de lo que vieron los usuarios después de intentar visitar el sitio para el grupo Netwalker después de que se eliminó el sitio:

Hasta ahora, no se ha mostrado dicho aviso en ninguno de los sitios web de Darkside. En cambio, la mayoría agotará el tiempo de espera o mostrará pantallas en blanco.

Aún más dudosa es la afirmación de que se han adquirido las importantes tenencias de criptomonedas del grupo. Las personas que tienen experiencia con el uso de monedas digitales no deben guardarlas en «carteras calientes», que son cajas fuertes digitales conectadas a Internet. Debido a que los hot wallets contienen las claves privadas necesarias para transferir fondos a nuevas cuentas, son vulnerables a la piratería y a los tipos de copias de seguridad que se reclaman en la publicación.

Para que las fuerzas del orden se apoderen de la moneda digital, los operadores de Darkside probablemente habrían tenido que guardarla en una billetera caliente, y el cambio de moneda utilizado por Darkside habría tenido que trabajar con las fuerzas del orden o ser pirateado.

También es posible que una organización como Chainalysis haya identificado un seguimiento cercano de billeteras que recibieron fondos de Darkside, y los funcionarios encargados de hacer cumplir la ley posteriormente se apoderaron de las propiedades. De hecho, Elliptic, una firma independiente de análisis de blockchain, informó que había encontrado una billetera Bitcoin que DarkSide usa para recibir pagos de sus víctimas. El jueves, informó Elliptic, se agotó $ 5 millones.

Actualmente se desconoce si esta transferencia fue iniciada por el FBI u otro grupo policial, o por el propio Darkside. En cualquier caso, Elliptic dijo que la billetera, que había recibido 57 pagos de 21 billeteras diferentes desde principios de marzo, proporcionó pistas vitales para los investigadores.

«Encontramos que el 18% de bitcoin se ha enviado a un pequeño grupo de intercambios», escribió Tom Robinson, cofundador y científico jefe de Elliptic. «Esta información proporcionará pistas importantes a los organismos encargados de hacer cumplir la ley a fin de identificar a los autores de estos ataques».

Tonterías, bombo y ruido

La publicación de Darkside se produjo cuando un prominente foro criminal clandestino llamado XSS anunció que prohibía toda actividad de ransomware, un gran cambio de sentido respecto al pasado. Anteriormente, el sitio web era un recurso importante para los grupos de ransomware REvil, Babuk, Darkside, LockBit y Nefilim para reclutar socios que utilizan el malware para infectar a las víctimas y, a cambio, compartir una parte de los ingresos generados. Unas horas más tarde, todas las publicaciones del lado oscuro dirigidas a XSS estaban inactivas.

En una publicación del viernes por la mañana, la firma de seguridad Flashpoint escribió:

Según el administrador de XSS, la decisión se basa en parte en diferencias ideológicas entre el foro y los operadores de ransomware. Además, los incidentes de alto perfil hicieron que la atención de los medios generara “una masa crítica de tonterías, exageraciones y ruido”. La Declaración XSS ofrece una serie de razones para su decisión, entre las que destaca que los colectivos de ransomware y los ataques asociados generan «demasiadas relaciones públicas» y añaden riesgos geopolíticos y de aplicación de la ley a una «amenaza».[ous] Nivel.»

El administrador de XSS también afirmó que como «Peskov [the Press Secretary for the President of Russia, Vladimir Putin] se ve obligado a disculparse con nuestros «amigos» en el extranjero, eso es demasiado. Vincularon un artículo en el sitio web de noticias ruso Kommersant, titulado «Rusia no tiene nada que ver con ataques de piratería informática en un oleoducto en los Estados Unidos» como base para estas afirmaciones.

En cuestión de horas, otros dos foros clandestinos, los foros Exploit y Raid, también habían prohibido las publicaciones relacionadas con ransomware. de acuerdo a Imágenes flotando en Twitter.

Mientras tanto, REvil dijo que prohibió el uso de su software contra organizaciones gubernamentales, educativas y de salud, informó The Record.

Ransomware en una encrucijada

Los movimientos XSS y REvil están causando una interrupción significativa en el ecosistema de ransomware a corto plazo, ya que eliminan una herramienta de reclutamiento crítica y una fuente de ingresos. Los efectos a largo plazo son menos claros.

«A largo plazo, es difícil creer que el ecosistema de ransomware estará completamente oculto porque los operadores están motivados financieramente y los sistemas utilizados han sido efectivos», dijeron los analistas de Intel471 en un correo electrónico. Dijeron que es más probable que los grupos de ransomware se vuelvan «privados», lo que significa que ya no reclutarán afiliados públicamente en foros públicos ni realizarán sus actividades actuales y les cambiarán el nombre por un nuevo nombre.

Los grupos de ransomware también podrían modificar su práctica actual de cifrar datos para que la víctima no los pueda utilizar mientras los descargan y amenazan con hacerlos públicos. Este método de doble chantaje tiene como objetivo aumentar la presión sobre las víctimas para que paguen. El grupo de ransomware Babuk comenzó recientemente a dejar de usar malware que encripta datos mientras mantiene su blog nombrando y avergonzando a las víctimas y haciendo públicos sus datos.

«Este enfoque permite a los operadores de ransomware aprovechar un evento de chantaje sin tener que lidiar con las consecuencias públicas de interrumpir la continuidad comercial de un hospital o infraestructura crítica», escribieron los analistas de Intel471 en el correo electrónico.

A partir de ahora, la única evidencia de que se han incautado la infraestructura y la criptomoneda de Darkside es, a través de las palabras de criminales aprobados, apenas lo suficiente para considerar la confirmación.

«Podría estar equivocado, pero sospecho que esto es solo una estafa de salida», dijo Brett Callow, analista de amenazas de la firma de seguridad Emsisoft, a Ars. «Darkside puede navegar hacia la puesta del sol, o más bien cambiarle el nombre, sin que los beneficios ilícitos para compartir con sus socios criminales «.

Más populares

To Top