Desde que se abrió la cuenta de DarkSide en marzo, dijo Elliptic, había recibido $ 17,5 millones de 21 carteras de Bitcoin, lo que indica la cantidad de rescates que había recaudado esta primavera. Los analistas de ciberseguridad evalúan que el grupo ha estado activo desde al menos agosto, y lo más probable es que haya utilizado varias carteras de Bitcoin diferentes para recibir rescates.
El intenso escrutinio que siguió al ataque Colonial Pipeline claramente ha inquietado a los grupos de ransomware. Esta semana, los operadores detrás de dos importantes plataformas de ransomware en ruso, REvil y Avaddon, anunciaron nuevas reglas estrictas que rigen el uso de sus productos, incluidas las prohibiciones de dirigirse a entidades afiliadas al gobierno, hospitales o instituciones educativas.
El administrador de XSS, un popular foro de ciberdelincuencia en ruso, anunció una prohibición inmediata de toda la actividad de ransomware en el foro, citando, entre otras cosas, la mala prensa asociada con la industria. En un comunicado publicado en el foro, el administrador llamó la atención sobre una “masa crítica de daño, tonterías, exageraciones y ruido”, y dijo que incluso el portavoz del presidente Vladimir V. Putin de Rusia había intervenido en el ataque de Colonial Pipe. (El portavoz, Dmitri S. Peskov, negó que el Kremlin hubiera estado involucrado en el ataque al oleoducto).
“La palabra rescate se ha asociado con toda una serie de cosas desagradables: geopolítica, chantaje, ciberataques gubernamentales”, escribió el administrador de XSS. “Esta palabra se ha vuelto peligrosa y tóxica”.
Incluso si DarkSide se ha cerrado, la amenaza del ransomware no ha pasado. Las redes de ciberdelincuentes a menudo se disuelven, reagrupan y cambian de nombre en un esfuerzo por deshacerse de las fuerzas del orden, dicen los expertos en ciberseguridad.
“Es probable que estos operadores de ransomware estén tratando de retirarse del centro de atención más que descubrir repentinamente el error de sus métodos”, dijo Mark Arena, director ejecutivo de Intel 471. “Es muy probable que varios de los operadores continúen operando en sus propios grupos muy unidos, resurgiendo con diferentes alias y nombres de ransomware”.
De hecho, DarkSide no dio indicios de que sus miembros se estuvieran saliendo del negocio del ransomware o incluso de que las víctimas actualmente infectadas con el malware del grupo se salieran del anzuelo. En su declaración, DarkSide dijo que entregaría sus herramientas de descifrado a los afiliados, dando a estos intermediarios, que eran responsables de infectar los sistemas informáticos con el software malicioso del grupo, la capacidad de negociar rescates con las víctimas directamente.
“Se le proporcionarán herramientas de descifrado para todas las empresas que aún no han pagado”, se lee en el comunicado. “Después de eso, podrá comunicarse con ellos donde quiera y de la forma que desee”.
Julian Barnes contribuido a la presentación de informes.