¿Estamos asistiendo al auge del ransomware como servicio?

En el transcurso de este año, DarkSide, un grupo de piratas informáticos rusos llamó la atención del Departamento de Estado de EE. UU.

En mayo de 2021, DarkSide fue responsable de un ataque de ransomware en Colonial Pipeline, extorsionando $ 5 millones por no filtrar datos que tenían en la red de Pipeline. Este se considera uno de los principales ataques de ransomware en la infraestructura de EE. UU. Hasta la fecha.

Lo que sabemos sobre DarkSide es que:

  • Operar como ransomware como servicio (Raas)
  • Obtenga su rescate en Bitcoin
  • El Departamento de Estado de EE. UU. Emitió un premio de $ 10 millones por información que conduzca a encontrar a los líderes del grupo.

¿Qué hace que el servicio de Raas sea preocupante? ¿El uso de Bitcoin conducirá a la caída de DarkSide?

¿Cómo se involucró el Departamento de Estado de EE. UU. En este caso?

Vamos a averiguar.

¿Qué hace que el ransomware como servicio sea especialmente peligroso?

El ransomware como servicio (Raas) es una variedad de ataques de ransomware que brinda a la gente común herramientas para realizar ataques cibernéticos.

De manera similar a otros tipos de ransomware, el perpetrador usa malware para obtener acceso a la red de la víctima. Una vez que otorgan acceso a datos confidenciales, exigen un rescate.

Raas funciona como un software que se denomina afiliado, lo que significa que los usuarios pueden comprarlo en foros clandestinos y usarlo para crear ataques de ransomware.

¿Qué hace que esto sea peligroso?

No es necesario ser un hacker para extorsionar a las empresas con Raas. Cualquiera, incluso personas con poca o ninguna habilidad, pueden comprar un afiliado y atacar a alguien con un ataque de ransomware.

El ataque Pipeline ha sido el resultado de ransomware como ataque de servicio. Alguien compró el afiliado y lo usó para atacar el Oleoducto.

Esto podría ser una señal de que DarkSide está perdiendo el control sobre sus servicios. O que tienen la culpa del ataque del que no son responsables. Es decir, afirman que no son políticos y que sus ataques de ransomware son exclusivamente para fines monetarios. En el pasado, DarkSide afirmó que no apuntan a gobiernos, hospitales y organizaciones sin fines de lucro.

¿Por qué el grupo DarkSide quiere Bitcoin como ransomware?

El grupo DarkSide comercializa sus servicios exclusivamente por Bitcoin. A lo largo de los años, Bitcoin se ha convertido en una moneda predeterminada para actividades ilegales.

Mucha gente asocia la popularidad de las criptomonedas como Bitcoin con el pago por actividades ilícitas de la web oscura. Se considera una forma de pago anónima e imposible de rastrear.

En realidad, las transacciones de Bitcoin son transparentes. Según el sitio oficial de Bitcoin:

“Todas las transacciones de Bitcoin son públicas, rastreables y se almacenan permanentemente en la red de Bitcoin”.

Esto ya permitió al FBI recuperar $ 2.3 millones en criptomonedas de DarkGroup en junio de 2021.

Se estima que DarkSide ya recibió $ 90 millones en Bitcoin de sus diversas víctimas (incluido el Pipeline).

¿Por qué la recompensa emitida por el Departamento de Estado de EE. UU. Es tan alta?

En noviembre de 2021, el Departamento de Estado de EE. UU. Declaró que ofrecen $ 10 millones por información que pueda identificar a los líderes de DarkSide.

Para el FBI, la información es una moneda más valiosa que Bitcoin, pero se reservan grandes recompensas solo para los casos más importantes. El grupo DarkSide ha sido parte de varios casos de ransomware de alto perfil que ocurrieron este año, pero el FBI no se involucró hasta el ataque de Pipeline. Este ataque de ransomware llamó la atención del Departamento de Estado de EE. UU. Porque tenía como objetivo una de las infraestructuras energéticas críticas de EE. UU.

Si no hubieran atacado el oleoducto, es probable que el gobierno no estuviera tan concentrado en su actividad. Sin embargo, el grupo DarkSide son ciberdelincuentes rusos que apuntan a sus rivales, es decir, en su mayoría empresas estadounidenses ricas. Además del Oleoducto, también apuntaron a Brenntag (una empresa alemana de distribución de productos químicos) y Toshiba Tec. Corp.

Rusia no interfiere con su actividad porque DarkSide no apunta a las empresas rusas para evitar la aplicación de la ley rusa.

Si Estados Unidos no usa sus recursos para llevarlos ante la justicia, es posible que nadie más lo haga.

Raas democratiza los ciberataques

Los ataques de ransomware son peligrosos y causan daños duraderos a sus objetivos, tanto a su reputación como a sus finanzas. Es por eso que las víctimas generalmente sacan sus billeteras de Bitcoin y pagan el rescate exigido.

Cumplir con los términos de los piratas informáticos es un arma de doble filo. Los objetivos pueden recuperar el acceso a sus datos y barrer el incidente debajo de la alfombra. Mientras pagan el rescate, también empoderan financieramente a grupos o delincuentes y les brindan recursos para atacar otras empresas y organizaciones.

Los ataques de Raas que caen en las manos equivocadas (si es que podemos afirmar que hay personas adecuadas para ser delincuentes) son especialmente peligrosos porque democratizan los ataques cibernéticos, dando a cualquiera los medios para exigir un rescate.

Es probable que la gran participación del Departamento de Estado de EE. UU. En este caso y la trazabilidad de las transacciones de Bitcoin pongan fin a la actividad de DarkSide y envíen un mensaje a organizaciones similares que operan utilizando Raas. Pero, de nuevo, solo el tiempo lo dirá.

Image: Pixabay

FUENTE DEL ARTICULO

Deja un comentario