Opinión del editor: Los ataques de ransomware en los últimos años han demostrado que ninguna empresa está a salvo de ellos, lo que ha animado a grupos de hackers como DarkSide a hacer crecer sus ambiciones y perseguir objetivos más importantes. Desafortunadamente para ellos, esto también provocó una feroz respuesta de las agencias gubernamentales, algo que probablemente no esperaban ni planeaban. Aún así, hay voces en la comunidad de seguridad que dicen que esto es simplemente una “estafa de salida”, donde los operadores de ransomware se retiran por un tiempo para planificar sus futuros ataques.
A principios de este mes, un grupo de piratas informáticos llamado DarkSide lanzó un ataque de ransomware contra la red comercial de Colonial Pipeline, lo que obligó a la compañía a cerrar el oleoducto principal de 5.500 millas y provocó escasez de combustible en 17 estados y Washington DC la semana pasada.
Según un informe de Bloomberg, Colonial pagó 75 Bitcoin (alrededor de $ 5 millones el día de la transacción) en rescate a los piratas informáticos de Europa del Este, pero oficialmente la compañía ha mantenido una narrativa diferente de no tener ninguna intención de pagar la tarifa de extorsión en criptomonedas. , como había exigido el grupo DarkSide. Sin embargo, se dice que la compañía con sede en Georgia realizó el pago pocas horas después del ataque, posiblemente utilizando una póliza de seguro cibernético para cubrirlo.
Una vez recibido el pago, los piratas informáticos proporcionaron a Colonial una herramienta de descifrado para la restauración de sus sistemas informáticos. Sin embargo, el proceso fue tan lento que la empresa simplemente recurrió al uso de sus propias copias de seguridad para acelerar la recuperación. Los envíos de combustible finalmente se reanudaron el miércoles por la noche, pero la historia provocó una respuesta gubernamental masiva, incluida una orden ejecutiva firmada por el presidente Joe Biden para el fortalecimiento de las defensas de seguridad cibernética de EE. UU.
La firma de análisis de blockchain Elliptic afirma haber rastreado la billetera utilizada por DarkSide para recibir pagos de rescate. La compañía descubrió que la billetera había estado activa desde principios de marzo y ha recibido 57 pagos de 21 billeteras diferentes, que parecen coincidir con los rescates conocidos que se han pagado en los últimos dos meses.
El total de transacciones se estima en $ 17.5 millones, y Elliptic también pudo rastrear dónde DarkSide está enviando algunos de sus fondos. Lo que encontró fue que el grupo está utilizando varios intercambios, así como un mercado de red oscura llamado Hydra que es popular entre los ciberdelincuentes rusos.
A principios de esta semana, DarkSide lanzó una disculpa en la web oscura explicando que nunca tuvo la intención de causar ningún “problema para la sociedad”. Ahora, el grupo afirma que ha perdido el control de sus servidores web y de una parte importante de sus fondos. Específicamente, los servidores fueron incautados por una entidad desconocida y al menos una de sus cuentas principales, que se utilizó para pagar a su grupo principal y afiliados que llevaron a cabo los ataques, se ha agotado.
Algunos especulan que esto fue el resultado de una acción rápida y coordinada de las autoridades estadounidenses con la ayuda del gobierno ruso, ya que ha habido sospechas de que DarkSide opera en Rusia. Sin embargo, los expertos de las firmas de seguridad Emsisoft, FireEye e Intel 471 explican que esto es simplemente una “estafa de salida”, un comportamiento típico utilizado por los operadores de ransomware como una forma de ocultar sus huellas y retirarse en las sombras donde pueden planear su próximo movimiento. a veces con un nombre diferente.
La segunda explicación es la más plausible, ya que otros ransomware han hecho anuncios similares a raíz de la mayor atención de los medios dada a sus operaciones recientes. Por ejemplo, REvil y Avaddon dijeron que dejarían de anunciar sus plataformas de Ransomware-as-a-Service y “se volverían privados”. Además, planean dejar de atacar infraestructura crítica como instituciones educativas y de salud, redes de energía, tuberías de combustible y cualquier otra cosa que atraiga el tipo de atención que resultó del reciente ataque DarkSide al Oleoducto Colonial.
Colonial no fue la única compañía atacada por DarkSide: Toshiba dijo en un comunicado el viernes que el lado europeo de su negocio había sido afectado por un ataque de ransomware el 4 de mayo. No pagó un rescate, ya que los datos robados no incluían información confidencial gracias a una acción rápida que impidió que los atacantes se movieran horizontalmente a través de los sistemas de red de la empresa.
El servicio de salud de Irlanda también fue víctima de un ataque de ransomware “significativo” y “sofisticado” en sus sistemas, lo que llevó a los funcionarios a cerrar los sistemas afectados como medida de precaución. Afortunadamente, el programa de vacunación Covid-19 del país no se vio afectado directamente por el ataque, pero ha habido una interrupción significativa en todos los demás servicios de salud ya que los hospitales se vieron obligados a trabajar fuera de línea.
En Alemania, la empresa de distribución de productos químicos Brenntag pagó $ 4,4 millones en Bitcoin como rescate a DarkSide para proteger sus operaciones en más de 670 sitios y 150 gigabytes de información confidencial. La red de la compañía fue infiltrada a principios de este mes con la ayuda de credenciales robadas y una seguridad de inicio de sesión laxa que carecía de autenticación multifactor.
El ransomware-as-a-Service parece ser un gran negocio, al menos según las cifras de Chainalysis, quien dice que los ataques de ransomware explotaron el año pasado y no muestran signos de desaceleración. En los primeros meses de 2021, las víctimas pagaron más de $ 81 millones, una gran parte de los cuales fueron a DarkSide.
Otra observación interesante es que durante los últimos ocho años, los operadores de ransomware han estado moviendo sus fondos a través de intercambios convencionales y vasos de criptomonedas, estos últimos se utilizan para ocultar esencialmente la dirección de origen de las transacciones. Esto lo hace muy atractivo para el lavado de dinero, fraudes y otras actividades delictivas.
El mes pasado, las autoridades estadounidenses arrestaron a Roman Sterlingov, el operador de un vaso de criptomonedas llamado Bitcoin Fog que supuestamente lavó $ 335 millones en Bitcoin desde 2011. Esta semana, el DOJ y el IRS comenzaron a investigar Binance, el mayor intercambio de criptomonedas del mundo por volumen, pero el Este último aún no ha sido acusado de ningún delito.
El principal problema con los ataques de ransomware es la dificultad de atrapar a las personas responsables de ellos, ya que algunos de ellos residen en países que pueden describirse como refugios seguros para el ciberdelito. Un ejemplo notable es Corea del Norte, que se dice que utilizó expertos en criptomonedas y piratas informáticos para robar miles de millones de dólares, ayudando a sus ambiciones militares y permitiéndole evadir las sanciones estadounidenses.
Otro problema es la alta movilidad de estos actores maliciosos, algo que requiere un esfuerzo global y concertado si queremos que haya un cambio significativo en la proliferación de ataques de ransomware. La ONU ha dado los primeros pasos en esa dirección con una propuesta para que los países firmen un conjunto de reglas similares a una “Convención Digital de Ginebra”, pero ha habido pocos avances en ese frente.